HackerOne 平台允許安全研究人員通知開發人員識別漏洞並因此獲得獎勵, 關於你自己的駭客行為。 一名研究人員設法存取了 HackerOne 安全分析師的帳戶,該分析師能夠查看機密資料,包括有關尚未修復的漏洞的資訊。 自該平台成立以來,HackerOne 已向研究人員支付了總計23 萬美元,用於識別來自100 多個客戶的產品中的漏洞,這些客戶包括Twitter、Facebook、谷歌、蘋果、微軟、Slack、五角大樓和美國海軍。
值得注意的是,帳戶被接管的原因是人為錯誤。 一名研究人員提交了一份有關 HackerOne 中潛在漏洞的審查申請。 在分析應用程式期間,HackerOne 分析師嘗試重複提出的駭客方法,但無法重現問題,並向應用程式的作者發送了回复,要求提供更多詳細資訊。 同時,分析人員沒有註意到,在檢查不成功的結果的同時,他無意中發送了會話Cookie的內容。 特別是,在對話過程中,分析師給出了一個由curl實用程式發出的HTTP請求的範例,其中包括HTTP標頭,但他忘記從中清除會話Cookie的內容。
研究人員注意到了這一疏忽,只需插入註明的 Cookie 值即可存取 hackerone.com 上的特權帳戶,而無需經過服務中使用的多因素身份驗證。 這次攻擊是可能的,因為 hackerone.com 沒有將會話綁定到使用者的 IP 或瀏覽器。 有問題的會話 ID 在洩漏報告發布兩小時後被刪除。 決定向報告該問題的研究人員支付 20 萬美元。
HackerOne 啟動了一項審計,以分析過去可能發生的類似 Cookie 洩漏事件,並評估有關服務客戶問題的專有資訊的潛在洩漏情況。 審計沒有揭示過去洩漏的證據,並確定證明問題的研究人員可以獲得服務中提供的所有程序中大約 5% 的信息,而使用會話密鑰的分析師可以訪問這些信息。
為了防止將來發生類似的攻擊,我們實作了會話金鑰與 IP 位址的綁定以及註解中會話金鑰和驗證權杖的過濾。 未來,他們計劃用綁定用戶設備來取代綁定IP,因為綁定IP對於動態分配位址的用戶來說不方便。 還決定擴展日誌系統,提供有關用戶訪問數據的信息,並為分析師實現客戶數據的精細訪問模型。
來源: opennet.ru