安全缺陷使攻击者可以窥探付款信息并收集私人错误赏金程序详细信息
Rails是开源网络框架,已修补了它的错误beplay体育能用吗Activeresource允许攻击者可以意外访问数据的软件包,这可能会导致信息泄漏。
该漏洞最初是由Bug Bounty Platform Hackerone发现的,他的网站使用ActiverSource来处理和在网络上处理数据对象。beplay体育能用吗
Hackerone联合创始人Jobert Abma二月提交了错误,报告网站的GraphQL接口中的信息泄漏,该界面将插入Restful ActiverEsoresource对象。
Abma说:“由于缺乏编码资源标识符,因此可以注入其他参数,并将查找呼叫指向[不同]资源端点。”
参数注入是攻击者在函数中使用小故障传递其他命令的一种攻击。为了防止这种情况发生,开发人员通常对外部输入进行消毒以删除任何潜在的有害命令。
在ActiverEsource的情况下,该库未对指定其应返回对象的标识符进行消毒。
Abma指出:“由于ActiverEsource对标识符没有意见,因此它不会编码它(例如,当通过字符串而不是整数时,它不会引起例外)。”
这意味着攻击者可以将自定义查询和命令传递给REST API。尽管该错误并没有欺骗库返回不需要的信息,但它会导致其行为和响应时间的变化,攻击者可以利用这些信息来收集相关信息。
付款保护
Hackerone使用ActiverEsource在其付款库中访问数据。根据ABMA的说法,该错误将允许攻击者发现诸如Hackerone用户已收到的付款数量,用户签署的税款类型以及私人存在的信息错误赏金程序。
Hackerone在回应Abma的报告时说:“这种安全漏洞是Hackerone的安全团队确定的,因此[因此]没有资格获得赏金。”
“我们没有任何证据表明这是被利用的,” Boun Bounty平台的发言人告诉每日swbeplay2018官网ig。
4月,Hackerone应用了猴子补丁将其用于Activeresource,这是一种临时扩展,可防止该错误被剥削。
“在进行Rails之前,我们评估了漏洞是否是我们对图书馆使用的独特之处,或者是否存在更普遍的安全问题。经过调查后,我们发现它可能会影响核心图书馆,并向Rails提交报告。” Hackerone发言人说。
受到推崇的XSS漏洞在“使用Facebook登录”按钮中获得20,000美元的Bug Bounty
一种CVE在一月份提出了该缺陷。铁轨本周早些时候发布了更新在Abma之后帮助开发一个补丁。
“ Hackerone充满了崭露头角的黑客,我们鼓励员工尝试他们的黑客技巧,因此这不是Hackerone员工第一次发现脆弱性,” Boug Bounty Platform发言人说。
hackerone具有公开访问的员工参与政策因此,严格禁止任何从事客户计划(包括Triagers)的人(包括Triagers)向其提交错误。
如果员工想入侵客户计划,他们必须至少在90天之前与该组织合作。
“当然,我们自己的错误赏金计划提供了一种独一无二的例外,因此向我们自己的计划提交报告的员工没有资格获得赏金,” Hackerone发言人说。
