HackerOne 平台允许安全研究人员通知开发人员识别漏洞并因此获得奖励,
值得注意的是,帐户被接管的原因是人为错误。 一名研究人员提交了一份有关 HackerOne 中潜在漏洞的审查申请。 在分析应用程序期间,HackerOne 分析师尝试重复提出的黑客方法,但无法重现问题,并向应用程序的作者发送了回复,要求提供更多详细信息。 同时,分析人员没有注意到,在检查失败的结果的同时,他无意中发送了会话Cookie的内容。 特别是,在对话过程中,分析师给出了一个由curl实用程序发出的HTTP请求的示例,其中包括HTTP标头,他忘记从中清除会话Cookie的内容。
研究人员注意到了这一疏忽,只需插入注意到的 Cookie 值即可访问 hackerone.com 上的特权帐户,而无需经过服务中使用的多因素身份验证。 这次攻击是可能的,因为 hackerone.com 没有将会话绑定到用户的 IP 或浏览器。 有问题的会话 ID 在泄漏报告发布两小时后被删除。 决定向报告该问题的研究人员支付 20 万美元。
HackerOne 发起了一项审计,以分析过去可能发生的类似 Cookie 泄露事件,并评估有关服务客户问题的专有信息的潜在泄露情况。 审计没有揭示过去泄漏的证据,并确定证明问题的研究人员可以获得服务中提供的所有程序中大约 5% 的信息,而使用会话密钥的分析师可以访问这些信息。
为了防止将来出现类似的攻击,我们实现了会话密钥与 IP 地址的绑定以及注释中会话密钥和身份验证令牌的过滤。 未来,他们计划用绑定用户设备来取代绑定IP,因为绑定IP对于动态分配地址的用户来说不方便。 还决定扩展日志系统,提供有关用户访问数据的信息,并为分析师实现客户数据的精细访问模型。
来源: opennet.ru