目录遍历漏洞暴露了1亿客户记录
更新星巴克后端网络基础设施中的安全缺陷可能暴露了咖啡链高达1亿客户的记录。beplay体育能用吗
这漏洞,由安全研究员萨姆咖喱识别并在可以被开发之前解决,留下用户记录,包括姓名,电子邮件,电话号码和风险的地址。
问题源于a目录遍历漏洞。
在订购星巴克礼品卡以获得朋友的生日,咖喱在缺陷的轨道上。
他注意到该请求导致API调用似乎“可疑”,因为它们返回了似乎来自另一个主机的数据。
WAF绕过
星巴克'BUG赏金程序提示咖喱深入挖掘。他随后的调查显示了终点/ bff / proxy /在app.starbucks.com.在内部路由请求以检索和存储数据。
此外,有可能遍历这些API调用来命中应在内部主机上无法访问的URL。
星巴克维护了一个Web应用程序防火墙(WAF)beplay体育能用吗,但咖喱能够规避这层安全防御。
由Security研究员Justin Gardner和使用Burp入侵者进行协助的研究员发现,一个内部API具有曝光的Microsoft图形实例,可以允许攻击者抵消近1亿用户记录。
这两位研究人员能够通过对阵星巴克的Web基础架构来访问自己的数据来确认这个问题。beplay体育能用吗
其他内部端点可能会授予研究人员的访问以及修改计费地址,礼品卡,奖励和优惠等事物的能力。
然而,该领域的问题没有测试,因此仍然未经证实。
$ 4k bug赏金
Curry和Gardner报告了他们的发现 - 以及他们可以在5月16日访问其联系人数据库的证据。
“星巴克团队通过这个问题很快工作,并在一天内修复了它,”咖喱报告。
研究员 - 谁发表了详细的技术写作他上周的调查结果 - 在其Bug Bounty计划下从星巴克获得了4,000美元的支付。
咖喱告诉每日SWbeplay2018官网IG.星巴克遭受的脆弱性是“众所周知的,但正在研究”。他说,他以前发现其他地方的类似问题,增加了案例因案例而异的影响。
星巴克尚未回复评论请求。
此故事已更新,以添加研究员Sam Curry的评论。
