Al momento sto analizzando un'applicazione web di un portale di lavoro in cui esiste una vulnerabilità di reindirizzamento aperto. La descrizione della vulnerabilità è la seguente:
Request type: GET
Vulnerable Parameter: dest
Secondary Parameter: passrx
Se seguo il metodo completo per sfruttare questa vulnerabilità, la vulnerabilità verrà sfruttata con successo. Se copio questo URL da burpsuite e lo fornisco a qualcun altro dopo averlo elaborato, non verrà eseguito correttamente poiché questo URL passa anche un altro parametro denominato passrx con un token crittografato univoco.
passrx=B8mzzG-GnM-hDJcYWj-0ByLGNpApDhHXQQw1WbYx7LFpG6MP60mL03oy7kVkvr21q-zlShJ38tNdUgPqQHATvb_U2IE4NzzWgqDjagHiMaxxirl583vfQ5N6Neypw7eYOyu8ihuu3tn8EGcTDPUishb6EZQ=.
Il valore di questo parametro è unico ogni volta. Per questa vulnerabilità non è necessaria l'autenticazione dell'utente. Ho provato un paio di bypass come segue:
-
Ho rimosso il parametro
passrxinsieme al suo valore e la richiesta inoltrata al server. Mi ha dato una pagina di errore 404. -
Ho provato a decodificare il valore del parametro
passrx. Non sono riuscito a trovare alcun algoritmo di decodifica e poiché il token è unico ogni volta che non mi aiuta. -
Ho iniziato di nuovo a eseguire l'intero scenario con l'aiuto di burpsuite. Quando ho ricevuto questa richiesta in burpsuite, ho abbandonato la richiesta e non ho frownard sul server per non utilizzare quel token univoco. Ho copiato l'URL e ho dato al mio amico che risiede nella rete adiacente e speravo che dal momento che il token non è stato utilizzato, potrebbe essere eseguito ora dal mio amico che risiede in una rete adiacente. Gli ha anche dato una pagina di errore 404.
Poiché si tratta di uno scenario non persistente, esiste un modo in cui posso renderlo persistente e in grado di essere sfruttato su una rete remota o adiacente?