Core Concepts
NASAのドメインでHTML注入とSelf XSSを発見し、DMARC設定の脆弱性を利用してP5からP4に昇格させる方法を示す。
Abstract
著者は通常の登録プロセスでHTML注入とSelf XSSを発見した。
HTML注入は最初のレスポンスで成功し、メールにも反映された。
Self XSSも成功し、POCを作成して報告したが、重大度が「Informational」と判断された。
HTML注入とDMARC設定の脆弱性を組み合わせることで、重大度を「P4」まで昇格させることができる。
DMARC設定の確認にはMXToolboxを使用し、DMARC設定が無効な場合はemkei.czを使ってメールスプーフィングを行える。
これにより、攻撃者が正規のメールアドレスから悪意のあるリンクを送信できるようになり、IPアドレスの取得や悪意のある活動が可能になる。
Stats
登録フォームに入力した名前と姓がそのままメールに反映された。
HTML注入タグが正常に実行された。
Self XSSのクエリ「」が成功した。
Quotes
"Hope you would have learned some information from this blog if so, kindly press that follow button for further updates & don't forget to give credit if your bug gets triaged :) Best wishes from Ajak Cybersecurity.❤️you can also support me by buying me a coffee https://buymeacoffee.com/ajak"
"கற்றவை பற்றவை🔥"