Bug Hunter为HelloSign Bug赚了17,000美元
创建的Google驱动器集成中的实现缺陷服务器端请求伪造安全研究人员透露,(SSRF)各种应用程序中的漏洞。
其中包括Dropbox的数字签名平台HelloSign,但“到目前为止最好的” SSRF是通过CRLF并要求在另一个未命名的应用程序中进行管道供电,该申请在GitHub中叙述Bug Bounty Hunter Harsh Jaiswal写上去。
Hellosign赏金
Jaiswal与HelloSign的Google Drive Docs出口功能有关的“非常简单”但至关重要的SSRF获得了17,576美元的赏金奖。
“通过在Google Drive API中使用额外的参数,研究人员有可能强迫HelloSign解析外部JSON数据,从而导致一个SSRF攻击” Dropbox的安全团队在错误线程在hackerone上。
他们补充说:“我们更新了解析器,以安全地提出缓解漏洞的请求。”
控制下载
Jaiswal说,实现问题是在集成中出现的,该集成从服务器端的Google Drive API获取文件。
为了演示该概念,他概述了一个场景,在该场景中,应用程序从Google Drive中检索并渲染了一个图像文件,该方式可以使攻击者通过The Googleapis.com对HTTP请求进行控制file_id。
研究人员解释说:“这意味着我们可以进行路径遍历并添加查询参数。”
阅读更多研究人员在内部Google Cloud Project中发现SSRF错误,NABS $ 10,000赏金
Jaiswal猜测他可能能够在Google上进行公开重定向,于2019年开始研究APIS,但事实证明这是不可行的。
但是,他找到了通往SSRF的另一条路线。
因为alt =媒体当应用程序解析JSON并提取时,参数服务于整个文件而不是JSON对象下载,攻击者可以控制下载。
一个有效载荷,其中包含具有恶意的JSON对象下载然后,设置为攻击者控制的URL,根据应用程序逻辑,可以触发A盲人SSRF。
CRLF,请求管道
SSRF通过CRLF和请求管道在私人上找到错误赏金程序以及与Google Drive如何导入幻灯片有关的程序。
这路径遍历研究人员发现,Jaiswal的一部分漏洞利用有效,但没有疑问参数。
但是,CRLF - 表示特殊的角色元素“马车返回”和“线饲料” - 应用于authtoken财产,允许他控制一部分请求标题。
Jaiswal说:“使用此功能,我能够使用请求管道来使用我的受控查询参数来制定新的请求,以www.googleapis.com进行。”
还有更多要找到的
研究人员说,大多数报告的SSRF现在已经纠正,但在其他应用中可能潜伏,未被发现。
他告诉他说:“如果[Google Drive]进行自定义实现,并且没有进行消毒,则可能导致此错误。”每日swbeplay2018官网ig。“我敢肯定,仍然有更多的应用程序受这一发现的影响。
