挖洞经验 | 雅虎(Yahoo)的速率限制漏洞($2k)

栏目: IT技术 · 发布时间: 4年前

内容简介:速率限制(Rate Limit)是为了限制某种资源在某段时间内被访问的次数,也即客户端发起请求的或服务端响应请求的次数,目的在于防止DoS攻击或对资源的无限请求下载。资源可以是网站服务、API接口或 磁盘读写等。本文中作者就通过发现了雅虎(Yahoo)网站评论区的速率限制漏洞,可在短时间内发送大量评论,造成评价拥塞,从而收获了雅虎官方奖励的$2000。在一些API接口中,应该考虑速率限制,限制每个客户端IP对API接口的请求是1分钟内最多多少次调用,如果超过该次数,那么,服务端应该采取拦截封堵,这样从服务端

速率限制(Rate Limit)是为了限制某种资源在某段时间内被访问的次数,也即客户端发起请求的或服务端响应请求的次数,目的在于防止DoS攻击或对资源的无限请求下载。资源可以是网站服务、API接口或 磁盘读写等。本文中作者就通过发现了雅虎(Yahoo)网站评论区的速率限制漏洞,可在短时间内发送大量评论,造成评价拥塞,从而收获了雅虎官方奖励的$2000。

速率限制漏洞

在一些API接口中,应该考虑速率限制,限制每个客户端IP对API接口的请求是1分钟内最多多少次调用,如果超过该次数,那么,服务端应该采取拦截封堵,这样从服务端性能和资源安全性方面考虑,都会是一个很好的控制措施。

如果服务端未设置合理的速率限制(Rate Limit)措施,那么可以造成间接的DoS或是用户信息泄露。比如,若网站提供了邮箱和手机号码注册功能,并设置有忘记密码页面,但是却忘记针对忘记密码功能做速率限制(Rate Limit),那么我们对此可以发起两方面的利用:

1、在忘记密码页面中填入注册用户(受害者)的注册邮箱或手机号码,配合BurpSuite抓包,提交忘记密码请求,利用repeater或intruder模块进行多次数据包重放,1000次或上万次的重放将对受害者邮箱和手机造成信息轰炸;
2、收集或生成邮箱和手机字典,根据忘记密码页面请求的响应提示,判断网站注册用户,间接实现对网站注册用户的枚举。

雅虎(Yahoo)的速率限制漏洞

当然,速率限制漏洞不仅限于忘记密码页面,还会存在于一些用户评论、用户添加、用户邀请、评论发送或一次性密码(OTP)发送等功能中。就比如我最近在yahoo.com用户评论区发现的一个速率限制漏洞,利用该漏洞,我可以在1分钟内发送多达100到200条的GIF动图评论,在评论区造成GIF flood。如下:

挖洞经验 | 雅虎(Yahoo)的速率限制漏洞(//img1.3s78.com/codercto/dd4b334300b748df2d16ad62c06f94d3k)

挖洞经验 | 雅虎(Yahoo)的速率限制漏洞(//img1.3s78.com/codercto/a3da94d0530203b80fdc9f7e8ab62140k)

我发现yahoo.com网站中有4个服务端都存在类似漏洞,目前这些漏洞均已修复。用Intruder的复现步骤如下:

1、去到存在速率限制漏洞的评论区,发送评论;

2、用BurpSuite抓包并发送到Intruder模块;

3、清除其它多余参数,保留评论区参数;

挖洞经验 | 雅虎(Yahoo)的速率限制漏洞(//img1.3s78.com/codercto/22d2ba8c4c612624f1ad71933dffcd69k)

4、针对评论区构造任意评论内容字典,开始发起attack;

挖洞经验 | 雅虎(Yahoo)的速率限制漏洞(//img1.3s78.com/codercto/ea41f4998f25f1a550f090c228f7a2b0k)

5、attack结束,刷新评论区页面即可看到attack后留下的评论内容。

挖洞经验 | 雅虎(Yahoo)的速率限制漏洞(//img1.3s78.com/codercto/c1b7e0a78bf291bde098f4f26379a915k)

同样,用Repeater点击多次送请求包也能实现同样效果:

挖洞经验 | 雅虎(Yahoo)的速率限制漏洞(//img1.3s78.com/codercto/c906266ce1c3fda5198177bb30c6446fk)

漏洞修复建议

1、在API接口中设置速率限制措施;
2、在API接口中设置严格的权限设置,严格防范IDOR漏洞;
3、对于忘记密码或注册等用户功能处,不给出明显的请求响应提示。

*参考来源: medium ,clouds 编译整理,转载请注明来自 FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

疯狂科学家大本营

疯狂科学家大本营

Bei Er Fei Ao Er / 本书翻译组 译、黄晓庆 周宇煜 张为民 审译 / Science Press / 2012-1-5 / 48.00元

美国最棒的创意工场不是贝尔实验室,不是硅谷,也不是麻省理工学院的媒体实验室,而是由五角大楼领导的绝密军事机构DARPA——国防高级研究计划局。DARPA是由美国前总统艾森豪威尔建立的军事部门,创建的目的是为了回应苏联的太空计划。 虽然DARPA属于政府机构,但是没有冷冰 冰的氛围和官僚做派,那里的科学家偏爱牛仔裤和运动鞋。不过他们最爱的还是在各个领域寻找颠覆性创意。从航空航天、IT,到能源领......一起来看看 《疯狂科学家大本营》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具