HackerOne 平台允許安全研究人員通知開發人員識別漏洞並因此獲得獎勵,
值得注意的是,帳戶被接管的原因是人為錯誤。 一名研究人員提交了一份有關 HackerOne 中潛在漏洞的審查申請。 在分析應用程式期間,HackerOne 分析師嘗試重複提出的駭客方法,但無法重現問題,並向應用程式的作者發送了回复,要求提供更多詳細資訊。 同時,分析人員沒有註意到,在檢查不成功的結果的同時,他無意中發送了會話Cookie的內容。 特別是,在對話過程中,分析師給出了一個由curl實用程式發出的HTTP請求的範例,其中包括HTTP標頭,但他忘記從中清除會話Cookie的內容。
研究人員注意到了這一疏忽,只需插入註明的 Cookie 值即可存取 hackerone.com 上的特權帳戶,而無需經過服務中使用的多因素身份驗證。 這次攻擊是可能的,因為 hackerone.com 沒有將會話綁定到使用者的 IP 或瀏覽器。 有問題的會話 ID 在洩漏報告發布兩小時後被刪除。 決定向報告該問題的研究人員支付 20 萬美元。
HackerOne 啟動了一項審計,以分析過去可能發生的類似 Cookie 洩漏事件,並評估有關服務客戶問題的專有資訊的潛在洩漏情況。 審計沒有揭示過去洩漏的證據,並確定證明問題的研究人員可以獲得服務中提供的所有程序中大約 5% 的信息,而使用會話密鑰的分析師可以訪問這些信息。
為了防止將來發生類似的攻擊,我們實作了會話金鑰與 IP 位址的綁定以及註解中會話金鑰和驗證權杖的過濾。 未來,他們計劃用綁定用戶設備來取代綁定IP,因為綁定IP對於動態分配位址的用戶來說不方便。 還決定擴展日誌系統,提供有關用戶訪問數據的信息,並為分析師實現客戶數據的精細訪問模型。
來源: opennet.ru