挖洞經驗 | HackerOne安全團隊內部處理附件匯出漏洞（$12,500）

安全漏洞 · 發表 2018-11-19 13:08:24

摘要：大家好，今天我要和大家分享的是一個和HackerOne平臺相關的漏洞，該漏洞在於可以利用HackerOne平臺的“Export as.zip”功能（匯出為.zip格式），把HackerOne安全團隊後臺的漏洞處理圖片附件匯出。最終的漏洞賞金為 $12,500美金。漏洞說明 ...

大家好，今天我要和大家分享的是一個和HackerOne平臺相關的漏洞，該漏洞在於可以利用HackerOne平臺的“Export as.zip”功能（匯出為.zip格式），把HackerOne安全團隊後臺的漏洞處理圖片附件匯出。最終的漏洞賞金為 $12,500美金。

漏洞說明

首先要說明的是，這個漏洞是我在2016年底就發現的漏洞了，HackerOne也已作了公開，在此想寫出來，一是為了分享，二是想告訴大家要發現漏洞其實也並不是那麼難。

這是一個功能性Bug漏洞，屬於資訊洩露漏洞，但是，基於該漏洞的嚴重性和對業務的影響程度，HackerOne決定給予我最高的漏洞賞金，這也是HackerOne自開通自身漏洞測試專案起，給出的單個提交漏洞最高獎勵。

漏洞嚴重性：高 (7.5)

漏洞定性: 資訊洩露 (CWE-200)

漏洞端倪

HackerOne是一個知名的第三方漏洞眾測平臺，在HackerOne中，廠商的漏洞測試專案公開披露某個漏洞時，有兩種披露模式可選，一種是完全披露（Full disclosure），另一種是有限披露（ Limited disclosure）。其中，完全披露也就是我們平常在H1看到的正常披露方式，這種披露狀態下包括了漏洞資訊、測試附件截圖和整個的漏洞處理程序；而有限披露中，則會對漏洞摘要資訊進行隱藏，就連安全團隊與白帽之間的評論、溝通和操作處理程序等內容也有所限制。

2016年11月14日，HackerOne平臺推出了一項名為 ofollow,noindex" target="_blank">“EXPORT”的報告導致新功能，可以在公開披露漏洞報告中的TIMELINE- EXPORT按鈕處找到，如下：

白帽子們在檢視一些 HackerOne 公開披露的漏洞報告時，可以利用該功能匯出報告，匯出方式有View raw text（檢視原始文字）和Export as .zip（匯出為.zip格式）兩種。

View raw text（檢視原始文字）：從中可檢視到整個漏洞報告的文字文字，方便複製貼上。如下：

Export as .zip（匯出為.zip格式）：可以把整個漏洞報告的文字打包為.zip壓縮格式下載。如下：

漏洞發現

在HackerOne推出了這項報告匯出功能之後的第三天，我才注意到，說實話我的節奏是有點晚了，但不管那麼多，我還是著手來進行一些測試吧。11月17日那天，我先做的測試就是，匯出一些編輯過的限制型披露報告，看看能否在其中能看到一些編輯隱藏（redacted）的文字內容，但最後發現，這根本不可以。

11月29日，當我在HackerOne的hacktivity上檢視披露漏洞時，我忽然看到名為@faisalahmed的白帽提交了一個與HackerOne報告匯出功能相關的漏洞，在提交漏洞中，@faisalahmed描述了他可以通過View raw text（檢視原始文字）方式看到一些編輯隱藏的限制型內容（redacted text），What，真的嗎？！我怎麼一直沒發現呢！在看了@faisalahmed的漏洞報告後（ https://hackerone.com/reports/182358 ），我才發現人家是在報告匯出功能後的第二天就提交了這個漏洞了，我完全落後了！

好吧，算我沒那個運氣吧，那就來認真閱讀一下人家的漏洞報告吧。於是，我就點選了“EXPORT”按鈕把整個漏洞報告匯出為.zip格式進行了下載。

當我解壓了.zip格式的壓縮包後，看到其中包含了一個text文件和一張圖片，text文件說明了整個漏洞的處理程序和結果，但，等等….，這裡的這張圖片是什麼東東？我迫不及待地開啟一看，這是一張漏洞驗證（PoC）的截圖，但是在HackerOne公開披露的報告中沒有這張圖片啊！而且，我在報告中還看到@faisalahmed希望HackerOne在報告公開後，移除一張圖片附件的評論請求，如下：

如果我沒猜錯的話，這張圖片就是@faisalahmed希望HackerOne移除的那張圖片附件，由此，我立馬寫了一個以下的簡單漏洞重現步驟，向HackerOne提交了這個漏洞。

漏洞重現步驟：

1、訪問@faisalahmed提交的漏洞報告 https://hackerone.com/reports/182358

2、點選“EXPORT”按鈕，用 Export as .zip 功能把漏洞報告匯出為.zip壓縮格式

3、解壓.zip格式報告壓縮包(HackerOne_Report-security#182358.zip)

4、可以檢視到公開披露報告中已經移除的圖片附件

上報漏洞僅12分鐘之後，HackerOne安全團隊就確認並分類了該漏洞：

20分鐘之後，HackerOne安全團隊就執行了修復，並向生產環境系統中部署瞭解決方案：

兩天之後，HackerOne官方向我獎勵了自其漏洞測試專案開展以來的最高獎勵 $12,500 美金：

漏洞修復

現在，當我們以.zip格式下載任何一個HackerOne公開披露的漏洞報告後，也已經無法在其中檢視到任何作了刪除和編輯隱藏的截圖附件，只包含了一個txt的漏洞文字。

漏洞上報程序

2016.11.29 03:04:52     向HackerOne安全團隊上報漏洞
2016.11.29 03:16:36      HackerOne安全團隊確認並分類漏洞
2016.11.29 04:36:34     修復漏洞
2016.11.29 04:59:23     確認修復
2016.11.30 09:15:51      HackerOne向我發放最高賞金$12,500和漏洞獎品

更多技術資訊請參考原漏洞報告 – https://hackerone.com/reports/186230

*參考來源： medium ，clouds編譯，轉載請註明來自FreeBuf.COM