挖洞经验 | HackerOne的双因素认证和上报者黑名单绕过漏洞($10,000)

栏目: 编程工具 · 发布时间: 6年前

内容简介:该漏洞是一个功能性Bug,最初上报给HackerOne时,他们给我设置的赏金是 $2,500,漏洞评级CVSS 5.0,但经HackerOne安全团队对这个漏洞执行根本原因分析流程(Root Cause Analysis,RCA)之后,他们又基于我上报的这个漏洞,发现了另一个高危严重漏洞(CVSS 7.1),因此,HackerOne官方最终又额外奖励了我$7,500美金。众所周知,HackerOne是一个漏洞众测网站,而我也经常在上面参与各个厂商的漏洞测试。通常,我总会留意HackerOne的一些新推出功

挖洞经验 | HackerOne的双因素认证和上报者黑名单绕过漏洞(,000) 大家好,今天我要和大家分享的是一个HackerOne相关的漏洞,利用该漏洞,我可以绕过HackerOne漏洞提交时的双因素认证机制(2FA)和赏金项目中(Bug Bounty Program)的上报者黑名单限制。该漏洞严重性最终被定级为中级,漏洞原因为授权不当( Improper Authorization),赏金为$10,000美金。

漏洞说明

该漏洞是一个功能性Bug,最初上报给HackerOne时,他们给我设置的赏金是 $2,500,漏洞评级CVSS 5.0,但经HackerOne安全团队对这个漏洞执行根本原因分析流程(Root Cause Analysis,RCA)之后,他们又基于我上报的这个漏洞,发现了另一个高危严重漏洞(CVSS 7.1),因此,HackerOne官方最终又额外奖励了我$7,500美金。

漏洞发现

众所周知,HackerOne是一个漏洞众测网站,而我也经常在上面参与各个厂商的漏洞测试。通常,我总会留意HackerOne的一些新推出功能,某天,偶然间我就发现了其一个名为 “嵌入式漏洞报告样式”(Embedded Submission Form)的试用功能 ,利用该功能,白帽们可以:

1、利用其嵌入式提交脚本,提供个人邮箱后,不用创建HackerOne账号就可上报提交漏洞,之后HackerOne会向这个邮箱反馈具体的漏洞处理进程;
2、另外,如果不提供个人邮箱,就会被视为匿名漏洞提交,这种提交方式下,白帽们就不会获得任何上报积分和赏金。匿名上报是该功能的一个选项。

大家可以点 此处官方说明查看 Embedded Submission Form功能的具体使用方法。

围绕该功能,我有了以下授权不当(Improper Authorization)的漏洞发现:

1、在上报提交某个厂商测试项目的漏洞时,可以利用“嵌入式漏洞报告样式”(Embedded Submission Form)功能,在不开启匿名上报时,绕过HackerOne对漏洞提交时的双因素认证(2FA)条件限制,当然了绕过这个2FA限制,这个提交漏洞还是计为你的上报漏洞。具体的2FA设置可点此查看;
2、可以绕过厂商漏洞测试项目的上报者黑名单限制。这里的上报者黑名单,也就是说,如果某名白帽总是上报一些无关漏洞,或存在超出测试范围或违反测试方法的行为,那么测试厂商可以把这名白帽拉到黑名单中,就不会再收到该名白帽的上报漏洞了。这个上报者黑名单功能可点此查看。

漏洞分析

绕过HackerOne对对漏洞提交时的双因素认证(2FA)

通常,漏洞测试厂商在白帽们提交漏洞之前,可以强制漏洞提交者实行一个双因素认证(2FA)校验,URL样式大概如此:

https://hackerone.com/ <program>/submission_requirements

具体设置如下:

挖洞经验 | HackerOne的双因素认证和上报者黑名单绕过漏洞(,000) 像漏洞测试厂商 Parrot Sec的测试项目 ,在该功能下,就要求漏洞提交者在提交漏洞之前,执行一个双因素认证(2FA)校验步骤,即使我尝试者在我自己的账户中禁用漏洞提交的2FA校验操作,但是,最终也还是不行,这样的话我会被Parrot Sec阻拦掉不能提交漏洞了,所以,必须得启用2FA校验操作。

挖洞经验 | HackerOne的双因素认证和上报者黑名单绕过漏洞(,000) 现在,我们利用“嵌入式漏洞报告样式”(Embedded Submission Form)功能,来尝试看看是否能绕过这个漏洞提交的2FA校验机制:

1、登录你自己的HackerOne账户,去掉你账户中的2FA校验功能设置;

2、来到漏洞测试厂商Parrot Sec的赏金项目下 https://hackerone.com/parrot_sec ,点击提交漏洞(Submit Report),此时,因为你自己没启用2FA校验功能,所以是不能提交漏洞的,只有启用2FA校验功能才能顺利提交漏洞;

3、从Parrot Sec厂商的漏洞测试策略中,找到Embedded Submission Form相关的漏洞提交链接,其漏洞提交链接形如: https://hackerone.com/ <redacted_UUID>/embedded_submissions/new,其中的redacted_UUID为一串类似0a1e1f11-257e-4b46-b949-c7151212ffbb的串号数字。

4、在你的HackerOne账户登录状态下,利用上述的Embedded Submission Form功能提交漏洞,然后就能不需要测试项目强制的2FA校验要求了。后经测试,这种方式的漏洞提交,还能绕过测试项目中设置的漏洞提交频率(Report Rate Limit)和内部功能滥用限制( Internal Abuse Limit)。

漏洞造成的影响:

白帽子们可以绕过漏洞测试项目中的2FA校验、漏洞提交频率和其它内部功能滥用限制,这种不当的授权操作,对厂商的漏洞处理形成干扰,也破坏了HackerOne平台的严谨安全性。HackerOne安全团队基于此发现的第二个漏洞比较严重,如果另一名白帽在此时正在编写漏洞提交报告,那么攻击者可以访问到其漏洞报告中的附件内容。

绕过漏洞测试项目的上报者黑名单限制

如果某名黑客的提交行为与测试项目中的策略不一致,或超出测试范围,或违反测试方法,测试厂商可以把该名白帽拉入黑名单,禁止接收到其提交漏洞,当然还能在公开(Public)或私密(Private)项目中限制该名白帽。更多说明 点此查看 。具体设置如下:

挖洞经验 | HackerOne的双因素认证和上报者黑名单绕过漏洞(,000) 于是,我想到了我的朋友 Ace Candelario ,他是Parrot Sec公司的公司代表,也是Parrot Sec公司在HackerOne平台的漏洞确认分类人。因此,我请求他在Parrot Sec测试项目后台把我的HackerOne账户拉入黑名单,禁止我提交漏洞。之后,我点击提交漏洞就会出现以下错误页面:

挖洞经验 | HackerOne的双因素认证和上报者黑名单绕过漏洞(,000) 好吧,我已经成为了Parrot Sec漏洞测试项目的黑名单人员了。但是,当我用前述绕过2FA的方法步骤来尝试时,我还是可以继续向Parrot Sec提交漏洞!

漏洞影响:

一些恶意的白帽子们,在被拉入黑名单之后,还能以此继续向测试厂商提交漏洞,对厂商的漏洞处理形成干扰,也破坏了HackerOne平台的严谨安全性。

漏洞原因

经HackerOne安全团队评估,以上两个漏洞的触发原因相同,都是由于在利用Embedded Submission Form功能编写漏洞报告时,其中的调试请求 uuid/embedded_submissions 中启用了不安全的检验方法 interact_without_authorization, 这种情况下,后端的访问控制列表机制(ACL)就会被绕过。

挖洞经验 | HackerOne的双因素认证和上报者黑名单绕过漏洞(,000) 漏洞上报进程

2018.10.04 02:41:19   — 向HackerOne安全团队提交漏洞
2018.10.05 20:07:59  — HackerOne确认并分类漏洞
2018.10.05 20:53:21     —HackerOne向我发放 $10,000美金赏金
2018.10.06 00:38:15     — CVSS 7.1的高危漏洞被及时修复,CVSS5.0漏洞正在修复中
2018.10.25 23:11:03     —CVSS5.0漏洞被修复
2018.10.25 23:11:03     —漏洞处理完成

更多技术信息请参考 原漏洞报告

*参考来源: medium ,clouds编译,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

大学的终结

大学的终结

[美] 凯文·凯里(Kevin Carey) / 朱志勇、韩倩 / 人民邮电出版社 / 2017-2-28 / 59.00

你了解目前全球高等教育的现状吗?你知道高等教育的未来是什么样的吗?你听说过泛在大学吗?翻开本书,了解大学的过去、现在与未来。 《大学的终结:泛在大学与高等教育革命》一书由美国著名教育作家凯文? 凯里倾情打造。作者在书中详细论述了美国大学的历史变迁、大学的本质、大学的未来、信息技术与教育的关系、泛在大学的定义、传统大学在大趋势下的挣扎,以及未来高等教育的学历认证与呈现形式。本书作者用缜密的逻辑......一起来看看 《大学的终结》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

html转js在线工具
html转js在线工具

html转js在线工具