Blind Stored XSS at Asset Domain Android Apps TikTok

Blind Stored XSS at Asset Domain Android Apps TikTok

Дневник Безопасника 🛡

Привет всем

Во-первых, позвольте мне представить небольшую историю, я молодой подросток, окончивший старшую школу, и энтузиаст IT-безопасности из Индонезии. Сейчас мне 21 год.

Однажды мне приснился сон, что я хочу найти действующую уязвимость на каком-то сайте технологического гиганта, и я подумал, что это нелегко и мне придется побороться. Именно сегодня я написал статью об обнаружении уязвимостей на TikTok.

Уязвимость, которую я нашел, была XSS Blind Stored на https://webcast.tiktokv.com/

Когда я пытаюсь найти XSS в Android-приложениях TikTok, я получаю новые URL-адреса покрытия и делаю это, чтобы минимизировать дублирование результатов других исследований. И я нашел функцию в Android-приложениях TikTok, а именно функцию Create Live Event Feature.

Затем я попытался вставить payload XSS во все формы.

"><img src=x onerror=write(document.domain)>

Небольшая информация, почему я не использую alert(document.domain)?

Я думаю, что если я использую alert() внутри Android Apps, и это не работает. Для этого я попытался использовать write(), чтобы увидеть, работает ли XSS или нет в Android Aps, и оказалось, что XSS полезная нагрузка, которую я ввожу, срабатывает в TikTok Asset Domain.

И созданное мной Live Event вызывает XSS. Тогда я приостановился и задумался, срабатывает ли XSS для меня самого или он может срабатывать для других пользователей?

Потом выяснилось, что созданное мной Live Event должно было дождаться проверки командой TikTok, чтобы его можно было выложить в открытый доступ, и, конечно, это заставило меня почувствовать, что мои находки - это только SELF XSS. И это не очень хорошо для меня :(

И я стараюсь быть терпеливым и ждать, пока мое Live Event не будет рассмотрено командой TikTok. И я не сообщил об этой находке в TikTok в то время, потому что XSS, который я получил, был только SELF XSS.

И после 30 минут ожидания, наконец, созданное мной Live Event было одобрено командой TikTok Review. И я попытался посмотреть, могу ли я использовать XSS для других пользователей, и, конечно же, я нашел здесь нечто уникальное, а именно то, что я могу продвигать свое Live Event, размещая Видео на своем аккаунте TikTok, и, конечно же, оно дойдет до других пользователей : )

И вот результат видеопоста:

И мне удалось преобразовать Self XSS в Blind Stored XSS :)




Proof of Concept



Отчет:

https://hackerone.com/reports/1542703

Bounty : $1,500


Original post

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org