Web滲透測試中比較難的就是測試那些交互較少的應用了，當你嘗試了各種漏洞利用方法而無效之后，很可能就會放棄了。但有時候，這種花費時間的投入和研究，對白帽自身的技術提高來說，還是非常有用的。這里我就分享一下，我在對比特幣賭博網站bustabit的滲透測試中發現的兩個漏洞，由此我也收獲了$12,000賞金。比特幣公司就是豪氣。
背景
過去幾周，我一直在對比特幣賭博網站bustabit進行滲透測試。在該網站中，玩家自己決定要投注的金額和支付倍數，隨著賠率和倍數的上升，在游戲強行終止前自行終止游戲即可勝出，但是在游戲強行終止時還未能退出比賽，所有玩家的賭注都會輸掉。
bustabit網站應用中存在一些有意思的功能，但我覺得其中的用戶聊天交流功能可能存在問題，所以我也花了好多時間來研究分析它。注冊登錄之后，點擊這里的鏈接https://www.bustabit.com/play，在左下角的CHAT框內就可與各路玩家進行實時聊天。

漏洞1：用戶客戶端的拒絕服務（DoS）漏洞 – $2,000 美金
當我瀏覽查看聊天消息時，發現了一件有意思的事，就是當鏈接被粘貼進入時，聊天應用服務會自動為其創建一個超鏈接進行跳轉。原因是由于網站采用了一個特殊且又危險的HTML實現元素，攻擊者可以采取以下方式執行惡意操作：
:2
理論上，該處主要會存在以下三種惡意利用：
如果輸入未做嚴格的安全過濾，則可以把 :1 的地方替換為 ” onmouseover=alert(1) a=” 形成觸發；
如果輸入未做嚴格的安全過濾，還可以把 :1 的地方替換為  javascript:alert(1) 形成觸發；
如果輸入未做嚴格的安全過濾，則可以把 :2 的地方替換為 alert(1) 形成觸發。
可在這里，這些地方的替換最終無法形成有效利用。聊天應用服務貌似不是直接對外部URL網站進行超鏈接轉化，例如在聊天窗口中輸入的外部URL網站是www.google.com，這里的聊天應用將會把其修改為以下樣式的最終跳轉鏈接：
https://www.bustabit.com/external?url=https://www.google.com

當然，在聊天窗口中點擊以上這個最終鏈接之后，會發生以下警告：

如果聊天窗口中輸入的外部URL網站是bustabit自身網站會怎樣？
經測試發現，bustabit自身并不會把自己的網站鏈接當成外部URL網站進行轉發，例如在聊天窗口中輸入www.bustabit.com/a后，由于它是同一個網站，它并不會像上述那樣，最終轉化為www.bustabit.com/external?url=www.bustabit.com/a 這樣的跳轉鏈接。
但結合之前的 :2 HTML可利用之處，可以在其中構造加入 www.bustabit.com/a ：
www.bustabit.com/a
那要是變為上述的跳轉鏈接，在其中加入www.google.com/a又會是怎樣呢？我們可以這樣來構造：
https://www.bustabit.com/external?url=https://www.google.com/a“>https://www.google.com/a
這個構造鏈接中有亮點的部份是，它沒有對整個域更行超鏈接，而僅僅是對https://www.google.com/a進行了超鏈接，最終點擊它后，又會跳轉到https://www.bustabit.com/external?url=https://www.google.com/a ：
由此，攻擊者可以利用雙斜線功能來跳轉請求類似以下的外部資源，實現攻擊Payload加載：
https://www.bustabit.com//attacker.com/hacked
最終可以這樣構造：
www.bustabit.com//attacker.com/hacked
經驗證，這種方法是可行的：

以下的HTML和上述的  //hacker.com/ 類似，請注意最終的構造效果是它會跳轉到一個非  samcurry.net 網站的外部鏈接上。這里的技術原理與統一資源標識符（URI）相關，點此參考。
就像下圖中在聊天室中輸入bustabit.com//whywontyouload.com之后，這種方法看上去可以繞過HTML解析機制的 Link Filter，由于這是一個純JavaScript的應用，需要 onclick 事件而不用自動執行刷新就能加載whywontyouload.com，但是最終效果不是太理想。

即使在客戶端寫好了PoC腳本，它也只會懸停在指向whywontyouload.com的操作上，點擊URL鏈接也沒有任何反應。所以，我就來好好看看到底發生了什么。
經過一番研究，我反復用不同的Payload來測試跳轉到外部域的機制，偶然就發現了能讓網站變灰不顯示任何東西的情況。原來，是我在自己的客戶端中發送了以下鏈接：
https://www.bustabit.com/%0t
由于其中包含了 %0t， JavaScript 不知如何處理解析，所以導致了整個網站的失效響應。即使刷新了整個頁面，我發現，我的客戶端還處于崩潰狀態。這也就是說，應用程序會自動把所有超鏈接發送到某個JavaScript函數，如果其中存在像 %0t 的這種失效參數，就會造成整個程序的崩潰。
由于bustabit網站中所有下注的用戶名稱在網站右上角都是公開的，攻擊得可以向任何下賭注的人發送此類消息，導致受害者用戶客戶端崩潰，無法完成有效參賭或賭資兌現。另外，攻擊者還能向網站主聊天窗口中發送惡意鏈接，導致所有用戶無法形成有效的消息連接，最終用戶形成不了交互，游戲就長時間不可玩。PoC視頻如下：
https://www.youtube.com/watch?v=jxBVZtB2z4Q
漏洞2：XSS和Click Jacking（點擊劫持）- $10,000賞金
在漏洞1中，我們提過，在聊天窗口中輸入www.google.com之后，聊天應用會形成以下跳轉鏈接：
https://www.bustabit.com/external?url=https://www.google.com

另外，測試發現，如果在其中輸入簡單的 JavaScript URI 之后，也能形成XSS，因為聊天中總會需要別人點擊某些鏈接，所以，這種漏洞無處不在。就像在聊天窗口中輸入Javascript:alert(1)之后，最終會跳轉到https://www.bustabit.com/external?url=Javascript:alert(1)，形成XSS攻擊：

這種情形下，可以深入對XSS漏洞進行利用，如其支持標記插入，那么，可以利用 Samy Kamkar的工具，形成點擊劫持攻擊。經測試發現，確實可以向聊天應用中插入標記，就此，我能用 Click here to continue 字段形成一個點擊劫持頁面：

而且，在現實利用場景中，我們還可配合以下這種用戶登錄頁面形成深入的漏洞利用：

那么， 這種XSS能做什么呢？當然是Session竊取了。Web接口中的會話會被存儲在用戶的本地瀏覽器中，攻擊者可以配合該XSS漏洞迷惑用戶登錄請求某個惡意外部鏈接，由此間接竊取到用戶cookie和session等信息，攻擊者利用用戶cookie信息就能登錄用戶賬戶。

總結
很多人在做漏洞眾測項目時，總會用一些面面俱到或淺嘗輒止的方式來進行測試，雖然從攻擊廣度上來說可能會取得一些實質性效果，但是有一點要清楚，像 aquatone  或 dirsearch這些你能用的開源工具別人一樣能下載利用。所以，如果你想在競爭激烈的眾多白帽中脫穎而出，最好的方法就是去深入挖掘發現目標網站的某些功能應用缺陷漏洞。