挖洞經驗 | HackerOne安全團隊內部處理附件匯出漏洞($12,500)
大家好,今天我要和大家分享的是一個和HackerOne平臺相關的漏洞,該漏洞在於可以利用HackerOne平臺的“Export as.zip”功能(匯出為.zip格式),把HackerOne安全團隊後臺的漏洞處理圖片附件匯出。最終的漏洞賞金為 $12,500美金。
漏洞說明
首先要說明的是,這個漏洞是我在2016年底就發現的漏洞了,HackerOne也已作了公開,在此想寫出來,一是為了分享,二是想告訴大家要發現漏洞其實也並不是那麼難。
這是一個功能性Bug漏洞,屬於資訊洩露漏洞,但是,基於該漏洞的嚴重性和對業務的影響程度,HackerOne決定給予我最高的漏洞賞金,這也是HackerOne自開通自身漏洞測試專案起,給出的單個提交漏洞最高獎勵。
漏洞嚴重性:高 (7.5)
漏洞定性: 資訊洩露 (CWE-200)
漏洞端倪
HackerOne是一個知名的第三方漏洞眾測平臺,在HackerOne中,廠商的漏洞測試專案公開披露某個漏洞時,有兩種披露模式可選,一種是完全披露(Full disclosure),另一種是有限披露( Limited disclosure)。其中,完全披露也就是我們平常在H1看到的正常披露方式,這種披露狀態下包括了漏洞資訊、測試附件截圖和整個的漏洞處理程序;而有限披露中,則會對漏洞摘要資訊進行隱藏,就連安全團隊與白帽之間的評論、溝通和操作處理程序等內容也有所限制。
2016年11月14日,HackerOne平臺推出了一項名為 ofollow,noindex" target="_blank">“EXPORT”的報告導致新功能 ,可以在公開披露漏洞報告中的TIMELINE- EXPORT按鈕處找到,如下:
白帽子們在檢視一些 HackerOne 公開披露的漏洞報告 時,可以利用該功能匯出報告,匯出方式有View raw text(檢視原始文字)和Export as .zip(匯出為.zip格式)兩種。
View raw text(檢視原始文字):從中可檢視到整個漏洞報告的文字文字,方便複製貼上。如下:
Export as .zip(匯出為.zip格式):可以把整個漏洞報告的文字打包為.zip壓縮格式下載。如下:
漏洞發現
在HackerOne推出了這項報告匯出功能之後的第三天,我才注意到,說實話我的節奏是有點晚了,但不管那麼多,我還是著手來進行一些測試吧。11月17日那天,我先做的測試就是,匯出一些編輯過的限制型披露報告,看看能否在其中能看到一些編輯隱藏(redacted)的文字內容,但最後發現,這根本不可以。
11月29日,當我在HackerOne的hacktivity上檢視披露漏洞時,我忽然看到名為@faisalahmed的白帽提交了一個與HackerOne報告匯出功能相關的漏洞,在提交漏洞中,@faisalahmed描述了他可以通過View raw text(檢視原始文字)方式看到一些編輯隱藏的限制型內容(redacted text),What,真的嗎?!我怎麼一直沒發現呢!在看了@faisalahmed的漏洞報告後( https://hackerone.com/reports/182358 ),我才發現人家是在報告匯出功能後的第二天就提交了這個漏洞了,我完全落後了!
好吧,算我沒那個運氣吧,那就來認真閱讀一下人家的漏洞報告吧。於是,我就點選了“EXPORT”按鈕把整個漏洞報告匯出為.zip格式進行了下載。
當我解壓了.zip格式的壓縮包後,看到其中包含了一個text文件和一張圖片,text文件說明了整個漏洞的處理程序和結果,但,等等….,這裡的這張圖片是什麼東東?我迫不及待地開啟一看,這是一張漏洞驗證(PoC)的截圖,但是在HackerOne公開披露的報告中沒有這張圖片啊!而且,我在報告中還看到@faisalahmed希望HackerOne在報告公開後,移除一張圖片附件的評論請求,如下:
如果我沒猜錯的話,這張圖片就是@faisalahmed希望HackerOne移除的那張圖片附件,由此,我立馬寫了一個以下的簡單漏洞重現步驟,向HackerOne提交了這個漏洞。
漏洞重現步驟:
1、訪問@faisalahmed提交的漏洞報告 https://hackerone.com/reports/182358
2、點選“EXPORT”按鈕,用 Export as .zip 功能把漏洞報告匯出為.zip壓縮格式
3、解壓.zip格式報告壓縮包(HackerOne_Report-security#182358.zip)
4、可以檢視到公開披露報告中已經移除的圖片附件
上報漏洞僅12分鐘之後,HackerOne安全團隊就確認並分類了該漏洞:
20分鐘之後,HackerOne安全團隊就執行了修復,並向生產環境系統中部署瞭解決方案:
兩天之後,HackerOne官方向我獎勵了自其漏洞測試專案開展以來的最高獎勵 $12,500 美金:
漏洞修復
現在,當我們以.zip格式下載任何一個HackerOne公開披露的漏洞報告後,也已經無法在其中檢視到任何作了刪除和編輯隱藏的截圖附件,只包含了一個txt的漏洞文字。
漏洞上報程序
2016.11.29 03:04:52 向HackerOne安全團隊上報漏洞 2016.11.29 03:16:36 HackerOne安全團隊確認並分類漏洞 2016.11.29 04:36:34 修復漏洞 2016.11.29 04:59:23 確認修復 2016.11.30 09:15:51 HackerOne向我發放最高賞金$12,500和漏洞獎品
更多技術資訊請參考原漏洞報告 – https://hackerone.com/reports/186230
*參考來源: medium ,clouds編譯,轉載請註明來自FreeBuf.COM