路由器参数查询网 mao.fan 疑似爆了个P0级别的漏洞。
前天在访问时在完全未登录的情况下,被系统强行塞了另一个陌生人的账号,当然我一开始没意识到这一点,以为是自己的账号,甚至顺手给人家改了个名字,然后一想,不对啊,我哪有账号,这什么永久VIP,我什么时候充了几十块给这个网站。
看了一下Cookies和curl抓了网络链路研究了一下,应该是站长在后端犯了个低级配置错误。站长在EdgeOne或者源站Nginx开启了页面强缓,但不知道是怎么回事忘记了过滤Set-Cookie响应头以及Cache-Control: no-store兜底,导致P0级别的会话劫持漏洞,CDN或反向代理全局缓存了包含真实用户Flask Session的Set-Cookie响应头,并将其错误的下发给了其他多个访客。
虽然陌生人是广州移动,我是上海电信,按理说CDN边缘节点有物理隔离,但我挂着Fake-IP走代理出海,极其凑巧地和这位广州老哥撞上了同一个海外落地机,老哥走了这条路拿自己账号登录了网站,Cookies错误的传递给了CDN缓存,在那个带有Flask Session的TTL缓存还没过期的几分钟内,我发起了请求,CDN节点看成了同一个人,直接把本应该是广州老哥的私密凭证复制了一份给我,强行让我白嫖了VIP账号,我真想去买张彩票了。
昨天已经联系了站长,但是到刚刚我撞了几次还是成功复现了,有点难绷,所以我打算曝光。
如果你知道这个网站并访问过,你的账号可能正在裸奔,最好近期不要访问此网站。
前天在访问时在完全未登录的情况下,被系统强行塞了另一个陌生人的账号,当然我一开始没意识到这一点,以为是自己的账号,甚至顺手给人家改了个名字,然后一想,不对啊,我哪有账号,这什么永久VIP,我什么时候充了几十块给这个网站。
看了一下Cookies和curl抓了网络链路研究了一下,应该是站长在后端犯了个低级配置错误。站长在EdgeOne或者源站Nginx开启了页面强缓,但不知道是怎么回事忘记了过滤Set-Cookie响应头以及Cache-Control: no-store兜底,导致P0级别的会话劫持漏洞,CDN或反向代理全局缓存了包含真实用户Flask Session的Set-Cookie响应头,并将其错误的下发给了其他多个访客。
虽然陌生人是广州移动,我是上海电信,按理说CDN边缘节点有物理隔离,但我挂着Fake-IP走代理出海,极其凑巧地和这位广州老哥撞上了同一个海外落地机,老哥走了这条路拿自己账号登录了网站,Cookies错误的传递给了CDN缓存,在那个带有Flask Session的TTL缓存还没过期的几分钟内,我发起了请求,CDN节点看成了同一个人,直接把本应该是广州老哥的私密凭证复制了一份给我,强行让我白嫖了VIP账号,我真想去买张彩票了。
昨天已经联系了站长,但是到刚刚我撞了几次还是成功复现了,有点难绷,所以我打算曝光。
如果你知道这个网站并访问过,你的账号可能正在裸奔,最好近期不要访问此网站。
