本文分享的是作者通过测试星巴克官网时,在其测试环境中创造的,利用IDOR越权办法实现的账户挟制漏洞,得到了星巴克官方褒奖00的褒奖。
漏洞探测当我浏览到新加坡星巴克网站时,有时在个中创造了一个第三方网站,出于保密缘故原由暂且叫他为example.com,随着对该网站的深入探测,我创造其路径example.com/starbucks下的页面和星巴克登录网站card.starbucks.com.sg千篇一律:
此时我想到了两种可能性:
1、当前Web运用程序是card.starbucks.com.sg的测试环境;2、可能是忘却删除的旧版测试环境。
这两种可能性都会导致漏洞,但我也并不愿定这里的漏洞是否会对星巴克网站的生产环境形成影响。于是,我在card.starbucks.com.sg网站创建了一个用户,然后用该用户在example.com/starbucks来进行登录测试,BINGO!
竟然可以的!
也便是说example.com/starbucks和card.starbucks.com.sg采取了相同的用户认证机制,都能认证星巴克注册用户。
漏洞利用
为此,我在example.com/starbucks页面下创造了另一个路径,该路径发起的POST数据包中包含了注册用户的绑定邮箱:
email=hacker@hacker.com
基于账户挟制思路,为此,我在这里把绑定邮箱更换成受害者的,要求发出后,做事真个相应内容中只包含了受害者的部份信息。而且在变动密码的要求中,由于无效的CSRF token,以是终极账户挟制的考试测验也没成功。
连续测试,我把包含受害者邮箱参数,在example.com/starbucks中天生的PHPSESSID cookie复制到了card.starbucks.com.sg的要求数据包中,哦哇,要求发出后,竟然可以成功获取到星巴克生产环境中受害者的个人信息,该要求中天生的有效CSRF token可以让我有权变动受害者密码,以此挟制了受害者账户。
漏洞影响利用该漏洞不但可以看到其他用户的个人信息,还能挟制受害者账户,而且如果受害者用户账户中有累积积分,还可以通过移动APP去消费掉受害者的这些积分。
其它漏洞创造我还在example.com上创造了其它两个测试环境页面,它们是:example.com/starbucks2和example.com/starbucks3,但是我在card.starbucks.com.sg注册的账户都不能登录该两个测试页面。其余,example.com/starbucks2页面不能注册新用户,但example.com/starbucks3页面可以注册新用户,这里就轻微有点乱了,但我只管即便大略来说。
我以为example.com/starbucks2 和 example.com/starbucks3两个测试环境页面调用的都是测试用户数据表,因此,在生产环境card.starbucks.com.sg中注册的用户是不能在该两个测试环境中登录的。
由于example.com/starbucks3页面可以注册新用户,且该用户可用来登录example.com/starbucks2,但不能登录card.starbucks.com.sg。然而,我从example.com/starbucks2要求包中复制的PHPSESSID cookie却能有效运用在card.starbucks.com.sg,因此,也就能间策应用该在example.com/starbucks3页面注册的新用户。为此,我画了一副以下漏洞利用逻辑图:
1、用受害者邮箱在example.com/starbucks3上注册新用户;2、用该注册的受害者用户登录example.com/starbucks2;3、复制第2步要求中的PHPSESSID cookie信息莅临盆环境网站card.starbucks.com.sg,进行登录,即能实现对受害者的账户挟制(如果该受害者邮箱在生产环境中有过用户注册,这里一样可以实现账户挟制)。
漏洞报送和处理进程5.17 - 漏洞报送5.18 - 漏洞分类5.20 - 星巴克褒奖$40006.17 - 星巴克额外褒奖$2000
参考来源:
kamilonurozkaleli
