HackerOne에 대한 공격으로 비공개 취약성 보고서에 대한 액세스 허용

보안 연구원이 개발자에게 취약점 식별을 알리고 이에 대한 보상을 받을 수 있는 HackerOne 플랫폼이 보고 자신의 해킹에 대해. 연구원 중 한 명은 아직 해결되지 않은 취약점에 대한 정보를 포함하여 기밀 자료를 볼 수 있는 능력을 가진 HackerOne의 보안 분석가 계정에 액세스하는 데 성공했습니다. 플랫폼이 시작된 이래 HackerOne은 Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon 및 미 해군을 포함한 23개 이상의 클라이언트 제품의 취약점을 식별하기 위해 연구자들에게 총 100만 달러를 지불했습니다.

휴먼 에러로 인해 계정 탈취가 가능해졌다는 점이 주목할 만하다. 연구원 중 한 명이 HackerOne의 잠재적인 취약점에 대한 검토 신청서를 제출했습니다. 애플리케이션 분석 과정에서 HackerOne 분석가가 제안한 해킹 방법을 반복 시도했지만 문제가 재현되지 않아 애플리케이션 작성자에게 추가 세부 정보를 요청하는 응답이 전송되었습니다. 동시에 분석가는 실패한 확인 결과와 함께 자신의 세션 쿠키 내용을 실수로 보낸 사실을 알아차리지 못했습니다. 특히, 대화 중에 분석가는 세션 쿠키의 내용을 지우는 것을 잊은 HTTP 헤더를 포함하여 컬 유틸리티에 의해 수행된 HTTP 요청의 예를 제시했습니다.

연구원은 이러한 실수를 발견했으며 서비스에서 사용되는 다중 요소 인증을 거치지 않고 발견된 쿠키 값을 삽입하기만 하면 hackerone.com의 권한 있는 계정에 액세스할 수 있었습니다. Hackerone.com이 세션을 사용자의 IP나 브라우저에 바인딩하지 않았기 때문에 공격이 가능했습니다. 문제의 세션ID는 유출 신고가 게시된 지 20시간 만에 삭제됐다. 문제를 알리는 대가로 연구원에게 XNUMX달러를 지불하기로 결정했습니다.

HackerOne은 과거 유사한 쿠키 유출 발생 가능성을 분석하고 서비스 고객의 문제에 대한 독점 정보 유출 가능성을 평가하기 위해 감사를 시작했습니다. 감사에서는 과거 유출에 대한 증거를 밝히지 않았으며 문제를 입증한 연구원은 세션 키가 사용된 분석가가 액세스할 수 있는 서비스에 제시된 모든 프로그램 중 약 5%에 대한 정보를 얻을 수 있다고 판단했습니다.

향후 유사한 공격으로부터 보호하기 위해 세션 키를 IP 주소에 바인딩하고 주석에서 세션 키 및 인증 토큰 필터링을 구현했습니다. 앞으로는 동적으로 발급된 주소를 가진 사용자에게 IP 바인딩이 불편하기 때문에 IP 바인딩을 사용자 장치 바인딩으로 대체할 계획입니다. 또한 데이터에 대한 사용자 액세스에 대한 정보로 로그 시스템을 확장하고 분석가가 고객 데이터에 대한 세분화된 액세스 모델을 구현하기로 결정했습니다.

출처 : opennet.ru