[Bugbounty Study] #Starbucks _ XSS & LFI

[Bugbounty Study] #Starbucks _ XSS & LFI

Study/Bugbounty Study 2020. 3. 22. 06:53

# Reflected Cross site Scripting (XSS) _ $375

Starbucks disclosed on HackerOne: Reflected Cross site Scripting...

**Summary:** Reflected Cross site Scripting (XSS) on https://www.starbucks.com/account/signin?ReturnUrl **Description:** The attacker can execute javascript on the victims account just after the authentication process. **Platform(s) Affected:** www.starbuc

hackerone.com

[Platform(s) Affected]

- www.starbucks.com
- www.starbucks.ca
- www.starbucks.com.br
- www.starbucks.co.uk
- www.starbucks.de
- www.starbucks.fr

6개의 Starbucks Domain에서 취약점이 발생하였다.

[PoC]

https://www.starbucks.com/account/signin?ReturnUrl=Jav asc ript:https ://www.starbucks.com/%0Aalert%28document.domain%29

보고서의 공격 코드는 아래와 같다.
https://www.starbucks.com/account/signin?ReturnUrl=%19Jav%09asc%09ript%3ahttps%20%3a%2f%2fwww%2estarbucks%2ecom%2f%250Aalert%2528document.domain%2529

해당 url을 통해 피해자가 로그인을 수행하면,

피해자의 계정에서 스크립트가 실행되는 취약점으로 Open Redirect가 가능하다.

[취약점 발생 사진]

url에 포함된 js코드가 실행되는 것을 확인할 수 있다.

[Recommendations for fix]

Redirect Parameter의 경우, 사용자 입력에 기반하지 않도록 한다.

[취약점에서 배울 점]

Redirect url에 대한 필터링이 제대로 되어 있지 않아

Tab이나 url encoding된 문자를 이용해 우회하여 취약점을 발생시킬 수 있었던 것 같다.

해당 취약점을 통해 스크립트가 실행되면 계정 탈취, 피싱, 악성코드 다운 등 다양한 공격이 가능하다.

Redirect의 기능이 꼭 필요한 경우라면, 화이트리스트 방식으로 필터링 하는 것이 더 안전하며,

외부 사이트로 Redirection되는 경우에 경고창을 띄워 알리는 방법으로 예방할 수 있다.

# DOM Reflected XSS _ $250

https://hackerone.com/reports/526265

Starbucks disclosed on HackerOne: DOM XSS on app.starbucks.com via...

gamer7112 discovered a DOM reflected cross-site scripting vulnerability on app.starbucks.com due to a hex character bypass/blank injections of the ReturnUrl parameter. @gamer7112 — thank you for reporting this vulnerability.

hackerone.com

[Platform(s) Affected]

- app.starbucks.com

[PoC]

https://app.starbucks.com/account/signin?ReturnUrl=%09Jav%09ascript:alert(document.domain)

위의 취약점을 다시 테스트하다 발견하였기 때문에 위와 동일한 취약점이다.

[취약점 발생 사진]

지금은 아래와 같은 페이지가 출력된다.

[Recommendations for fix]

ReturnUrl에 대한 검사를 개선하고, hex (00 - 1F) 값을 허용하지 않아야 한다.

[취약점에서 배울 점]

꺼진 취약점도 다시 보자.

# LFI via path traversal _ $4000

https://hackerone.com/reports/780021

Starbucks disclosed on HackerOne: Korea - LFI via path traversal at...

@iampuky — thank you for reporting the original vulnerability and for confirming the resolution.

hackerone.com

[Platform(s) Affected]

- com.starbucks.mystarbucks.kr (iOS: App Store)

해당 취약점은 서버의 파일(시스템 파일, 앱 소스 코드, 로그 등)을 읽을 수 있는 Critical한 취약점이다.

한국 스타벅스 앱은 https://msr.istarbucks.co.kr:6443/appif/ 에서 API를 호출했고,

해당 디렉토리에서 실행되는 앱은 Path Traversal*에 취약하여 서버의 임의의 파일에 접근이 가능했다.

# Starbucks Bugbounty

https://hackerone.com/starbucks

Starbucks - Bug Bounty Program | HackerOne

The Starbucks Bug Bounty Program enlists the help of the hacker community at HackerOne to make Starbucks more secure. HackerOne is the #1 hacker-powered security platform, helping organizations find and fix critical vulnerabilities before they can be crimi

hackerone.com

스타벅스의 버그바운티 제도에 대한 자세한 사항은 해당 url을 참조하면 된다.

*Path Traversal :

웹 루트 디렉토리 외부에 저장된 파일에 접근하는 기법으로 경로 탐색 취약점이라고도 불린다.

해당 취약점을 통해 공격자는 시스템 파일 또는 중요한 정보 파일 등에 접근하거나 수정할 수 있게 된다.

상대 경로를 절대 경로로 반환하거나 사용자 입력 값을 필터링하는 등의 방법으로 예방할 수 있다.

저작자표시 비영리 변경금지

'Study > Bugbounty Study' 카테고리의 다른 글

[Bugbounty Study] #Bugcrowd _ CSRF (0)	2020.04.13
[Bugbounty Study] #Facebook _ CSRF (0)	2020.04.13
[Bugbounty Study] #Google _ XSS (0)	2020.03.30
[Bugbounty Study] #Shopify _ Open Redirect to XSS (0)	2020.03.30
[Bugbounty Study] #Mail.Ru _ Account Takeover (2)	2020.03.23

인기포스트 MORE POST

ABOUT ME

GRINI

# Reflected Cross site Scripting (XSS) _ $375

# DOM Reflected XSS _ $250

# LFI via path traversal _ $4000

# Starbucks Bugbounty

'Study > Bugbounty Study' 카테고리의 다른 글

티스토리툴바

인기포스트 MORE POST

ABOUT ME

# Reflected Cross site Scripting (XSS) _ $375

# DOM Reflected XSS _ $250

# LFI via path traversal _ $4000

# Starbucks Bugbounty

'Study > Bugbounty Study' 카테고리의 다른 글

관련글 관련글 더보기

티스토리툴바