11月份挖到的,当时没写记录,今天补一下,免得哪天就忘了。
至于是哪家电动品牌,当然就是我自己骑的这辆啦哈哈哈,不得不说车是真的好骑,只不过这公司是真的抠,之前还挖到过 0.01 元购买商品、0.01 元购车、签到补签卡不消耗积分(补签卡可以抵现)这些漏洞,反馈上去一点动静都没有,奖励也不给,就默默修掉了,气死我了。
这次挖到的漏洞,可以做到用户点击帖子自动窃取客户端 token,管理员在后台打开帖子时则窃取后台 token。
帖子 XSS 注入,加载帖子时自动窃取 token 并上传到第三方服务器。
原理大致是这样:APP 内部像车辆智能服务续费、签到这类功能,其实是套了一层 WebView 来打开网页,所以 WebView 对应的 H5 页面是带着 Authorization Token 的。
帖子的挖掘过程也挺有意思,看到官方发布的一些帖子里,帖子内容是通过引入外部 html+js 来渲染的。更离谱的是,他这个外部 html+js 的链接长这样:h5.xxxx.com/xxxxx.html/?xxxxx=一个外部的js,哈哈哈哈哈哈哈,怎么会有这种页面直接挂在线上环境啊。实际上 APP 这边也能直接加载传进去的 js。
对了,后面还挖到一个漏洞,普通用户可以发布官方公告帖。具体方法就是发布的时候改一个属性 id,懒得细写了,反正后续也是默默修掉,反馈奖励一点没有。
在我帖子被下架之前,我看到官方人员分别用 Web 后台和 APP 点进了我的帖子,两个漏洞一配合,殊不知官方的 token 也被我拿到了哈哈哈。
官方测试账号(当然我啥也没动,就反馈了一下,md)
0.01 元购物截图