記一次1000美金的TikTok盲打XSS的漏洞挖掘

大家好，在本文中，我將分享我在2個TikTok資產發現的XSS漏洞。

當我決定在TikTok 程序中尋找漏洞 時，我花了1個月的時間尋找這個XSS。

當我在TikTok 賣家賬戶( https://seller-id.tiktok.com/ )上創建產品時，這個 XSS 發現開始了

我在賣家賬戶的產品名稱中插入了 XSS payload。

結果是我得到的https://seller-id.tiktok.com/上沒有 XSS 。我決定不再在那里尋找 XSS。

第二天，當我繼續測試TikTok Android Apps 資產時，我發現了我的產品的功能。

我試圖從上面的Share功能中查看產品 URL 位置。

我得到一個表單的 URL：

https://oec-api.tiktokv.com/view/product/1231414124124124

結果是一樣的，這里沒有XSS :(

我沉默了片刻，試圖查看頁面的視圖源。

顯然我在那里發現了一個易受攻擊的 XSS片段，其形式如下：

<meta name='keywords' content='[ ">] , TikTok, TokTok Shop' />

這就是讓我放棄的原因，但在我知道回復的片段后，我試圖從TikTok 賣家賬戶（https://seller-id.tiktok.com/）中更改我的產品名稱。

現在我使用帶有單引號 ( ' )前綴的 XSS payload：

'><img src=x onerror=alert()>

最后出現一個彈出窗口:)

讓我們看看來自視圖源的響應：

<meta name='keywords' content='[ '><img src=x onerror=alert()>] , TikTok, TokTok Shop' />

是的，'>前綴用于關閉META TAG中的輸入值。我在這里存儲了 XSS Blind。

我喜出望外，立即向TikTok團隊匯報。

報告完問題后，我繼續測試，結果發現在我最初的發現中發現了受 XSS 影響的其他TikTok資產的 URL。

受影響的資產是https://shop.tiktok.com/

我還向TikTok團隊報告了這一發現，最后獲得了1000美金的賞金。

報告詳情

https://hackerone.com/reports/1554048

受影響的資產：

https://oec-api.tiktokv.com/

https://shop.tiktok.com/

時間線 

報告：4月29日

修復和解決：5 月 13 日

賞金：1000 美元