谁说你必须开始小?
印度的一名安全研究人员在Facebook和第三方商业智能门户网站上发现了几个安全缺陷后,已获得31,500美元的Bug Bounty奖金。
在媒介中邮政昨天(5月31日)出版,Bipin Jitiya深入研究了他有史以来的第一个漏洞赏金支出,以证明研究人员如何结合“安全的代码审查,枚举和脚本知识以找到关键的脆弱性”。
笔测试仪和应用程序开发人员为四个发现中的两个获得了三项奖励,为内部盲人赚了30,000美元SSRF在使用MicroStrategy的工具构建的公共端点的源代码中,该工具执行了自定义数据收集和内容生成。
MicroStrategy,它具有与Facebook合作在数据分析项目几年中,在Jitiya还发现该平台演示门户中存在漏洞后,还为同一缺陷支付了500美元。
链式反应
虽然30,000美元没有什么可闻的,但可以说,另一个更有趣的发现并没有引起社交媒体巨头的支出。
Jitiya告诉每日swbeplay2018官网ig另一个盲人SSRF他以前在MicroStrategy Web SDK源代码中发现了这是允许攻击者向内部和外部系统提交的请beplay体育能用吗求,“单独产生了中等影响”。
他补充说,当他后来发现“被信息泄漏束缚”时,“它的影响大大增加了”。
Net Square Solutions的信息安全分析师Jitiya发现,URL缩短器在内部使用beplay维护得多久Facebook在外部,用户可以泄漏有关服务器的敏感信息。
这包括“有关日志文件夹的内部路径,其他文件路径,使用获取数据的内部系统查询,内部IP地址,内部ID,与配置相关信息,私人文档等无需任何身份验证的信息。
“通过利用这种漏洞,攻击者有可能列举系统中存在的有效内部URL。”
这可以用来启动路径遍历和服务器端请求伪造(SSRF)攻击,他在媒介中说。
“在最坏的情况下,如果攻击者找到用于更新或删除服务器内部文件的内部URL,那么攻击者可以通过与盲人SSRF链接来执行此URL来滥用该信息,”他告诉每日swbeplay2018官网ig。
“在同一情况下,也有可能删除任何敏感文件,例如日志文件,配置文件……甚至在最坏的情况下,某些控制器文件,例如login.php,profile.php等。”
迷信
尽管Jitiya注意到已经纠正了盲人SSRF错误,但Facebook表示这不是对他的报告的回应,并且“很容易成为最近添加的功能,无关的错误修复或基础架构/配置更改的副作用”。
Facebook拒绝付款“在没有工作的POC的情况下清楚地显示了内部SSRF”。
相比之下,这笔30,000美元的支出被批准了,因为“可以对Facebook内部终点进行盲目SSRF”。
Jitiya告诉每日swbeplay2018官网ig他还试图使用Gopher包装器将SSRF转换为RCE,但不幸的是,Gopher包装器在Facebook服务器上被禁用。”
通过Facebook的Bugcrowd计划发出的1,000美元奖励是由于Jitiya在发现“ Shorturl”任务未能检查有效的身份验证会话的情况下,在防火墙环境后面对内部Facebook基础架构进行了列举,从而为未经认可的攻击者提供了一种方式。
Facebook最初“不认为这是安全漏洞”,但在研究人员概述了该缺陷启用的攻击方案之后,包括网络钓鱼和包括网络钓鱼和反映的跨站点脚本((XSS)攻击。
阅读更多“与苹果签署”漏洞发现赚取$ 10万美元的Bug Bounty
