首页 » NetworkSec » AWD » 正文

openresty服务器图片解析成html可进行钓鱼欺诈

0x00 概述

前几天在t00ls看到个帖子https://www.t00ls.net/articles-44378.html,顿时感觉超NB,攻击者可以利用这个问题在图片中插入任意js进行钓鱼欺诈,赶紧测试一下,果然重现成功!

 

0x01 漏洞重现

利用帖子作者给的测试站进行测试:
new.hi.163.com

这里不用头像的上传点,用相册的上传点

在图片中插入js和html代码

抓包修改content-type为text/html

上传成功后等待一下审核,再复制缩略图的url打开

成功解析,重现成功!

看下返回的server,的确是openresty,但不一定就是openresty的问题。

 

0x02结语

据说许多大站(qq,kugou,163)都存在这个问题,听大神说是网易云存储nos的问题

但奇怪的是其他大站如企鹅,某狗都存在这个问题,难道都是用网易云存储?还是底层技术一样?又或者是openresty的配置问题?这个问题利用起来需要能上传图片,本人以前测试的时候遇到过许多打开图片是乱码的情况,可能就是把图片解析成html或者plain了。

 

0x03参考资料

https://www.t00ls.net/articles-44378.html

Comment