Boss直聘的一个csrf与url跳转漏洞(已经修复)
题记
boss直聘src上线了:https://src.zhipin.com/,尝尝鲜挖到了这个。
一、详细介绍
此链接https://www.zhipin.com/logoutToUrl/?toUrl=https://www.baidu.com会导致账号退出并跳转到我们设置好的链接。
二、漏洞证明
我们登陆boss直聘。
漏洞链接:https://www.zhipin.com/logoutToUrl/?toUrl=https://www.baidu.com/
严格来讲这个点存在csrf与url跳转2个漏洞,访问https://www.zhipin.com/logoutToUrl/会导致我们账号直接下线,?toUrl=https://www.baidu.com/我们下线后会跳转到我们输入的网址,这里拿百度测试。
访问https://www.zhipin.com/logoutToUrl/后,在重新打开原登陆界面发现登录异常然后退出。
而当我们在登录态访问https://www.zhipin.com/logoutToUrl/?toUrl=https://www.baidu.com/后,我们会账号退出后跳转到百度,跳转网址我们是可控的,我们可以构造钓鱼页面利用此漏洞钓鱼,如果发现一个XSS危害更大。
我们可以在network看到跳转过程。
三、修复方案
1、加token验证;
2、校验传入的跳转url参数值。