看我如何反覆獲取到HackerOne的漏洞測試邀請
今天我要分享的是,利用HackerOne平台的漏洞報告郵件轉發(Security@email forwarding)和項目退出功能(Leave Program),無需與廠商的任何用戶交互行為,即可實現反覆對HackerOne平台私密項目邀請消息的獲取。這是一個邏輯功能Bug,HackerOne的測試邀請獲取設計存在缺陷。
漏洞報告郵件轉發功能(Security@email Forwarding)
這個漏洞報告郵件轉發功能(Security@email Forwarding),需要廠商和HackerOne協商開通,並不是所有廠商的測試項目都會有這個功能,其原理是這樣的,如果白帽子們在HackerOne上發現和某家廠商相關的漏洞,他可能會選擇向HackerOne提供的相應廠商的安全團隊郵箱security@companyname.com報告漏洞。與此同時,當白帽通過HackerOne平台報告了該漏洞之後,白帽子自己的 Inbox 里也會轉發留存一份報告作為存檔。
在測試廠商收到報告之後,HackerOne系統會自動向白帽子的 Inbox 中發送一封私密測試邀請,以邀請白帽參加其組織的私密漏洞測試項目,以進一步提交漏洞。如下所示:
項目退出功能(Leave Program)
項目退出功能,簡單地說就是在HackerOne平台中,白帽子們在加入某個漏洞測試項目之後,如果發現這個項目的測試範圍或領域並不是你感興趣或擅長的,那麼,可以選擇點擊 「Leave Program」來退出該項目。在測試項目的主頁(Security Page)中,可以找到「Leave Program」按鈕。
而在這個功能中,如果你選擇退出了某個邀請項目,HackerOne會讓你完成一份關於項目退出功能的調查表,之後,作為回報,系統還會在24小時之內繼續向你發送另一個測試項目的邀請。如下:
You helped out us by filling out a survey,in return you will be fast-tracked for invites, with the first one arriving in the next 24 hours.(感謝你為我們完成了調查問卷,作為回報,我們會把你加入快速邀請行列,你將在24小時內收到一個邀請)
那麼,在這種設計邏輯下,能否存在一種可利用的空子呢?可以讓 ?HackerOne 自動不斷地向我發送測試項目邀請?答案是肯定的。
漏洞復現
假設你現在未收到任何測試項目邀請,也就是邀請數為0。那麼可以用以下幾步來進行漏洞復現:
1.首先,在HackerOne上找到開啟漏洞報告郵件轉發功能(Security@email Forwarding)的測試項目,簡單地說,可以通過HackerOne賞金項目鏈接 https://hackerone.com/bug-bounty-programs 來查找,如果確認其測試項目主頁中有提供漏洞上報郵箱security@companyname.com,那麼,說明該廠商的漏洞報告郵件轉發功能(Security@email Forwarding)是開啟的。如下圖所示:
2.選取其中用來作漏洞報告郵件轉發的郵箱,這裡就用security@companyname.com來代替吧;
3.這個郵箱也就是你能收到HackerOne測試邀請的關鍵,所以我們就向其發送一封測試郵件;
4.之後,你會通過HackerOne平台,收到一封來自廠商安全團隊的測試邀請,如下圖所示:
5.點擊上圖中的 Submit Vulnerability Report 鏈接,你就成為了項目參與者了;
6.現在,選擇項目退出(Leave Program),完成項目退出問卷調查並確認退出;
7.之後,你又被HackerOne加入快速邀請行列,在接下來的24小時之內,又可以接收到關於另一項目的測試邀請了;
8.重複以上第2步到第第7步,就會不斷得到不同項目的漏洞測試邀請。
下圖是這個過程的簡單邏輯描述:
漏洞影響
攻擊者可以不需要與廠商進行任何交互,就可以得到各種漏洞測試項目的邀請,向上述我那樣重複,幾個月之內就能收到100多個測試邀請,從而得到你想要的邀請。
漏洞修復
現在,HackerOne已成功修復了這個邏輯Bug,退出項目的白帽再也不會再收到其它廠商的測試邀請了。
漏洞上報進程
2018.04.06 11:26:21? 向HackerOne上報漏洞
2018.04.06 16:58:42 HackerOne確認並分級漏洞
2018.04.11 21:34:50 ?$2,500賞金髮放
2018.04.17 19:53:34? 漏洞修復
更多技術信息,請參考原HackerOne漏洞報告 - https://hackerone.com/reports/334205
*參考來源:
medium
,clouds編譯,轉載請註明來自FreeBuf.COM
TAG:FreeBuf |