我发现了一个价值8500美元的 HackerOne 平台漏洞

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

一名白帽黑客发现了 HackerOne 平台上的一个严重漏洞，可导致用户的邮件地址遭暴露，他为此赢得8500美元的奖励金。

本月早些时候，昵称为 “msdian7” 的黑客发现HackerOne 漏洞奖励平台新推出的一个新功能引发了一个漏洞，可被用于获取任意 HackerOne 用户的邮件地址。

该功能于2月10日推出，msdian7 在第二天就发现了这个漏洞。几小时后HackerOne 修复了该漏洞并在当天向因msdian7 开展测试活动而受影响的两名用户发出通知。

HackerOne 平台指出，该漏洞是一个授权不当问题，和该平台的邀请系统有关。漏洞奖励计划管理员通过该邀请系统邀请用户参加私密计划、获取奖励金或被添加至计划内。这些邀请可发送给用户名或邮件地址，但如果用户是基于用户名收到的邀请，则发件人无法访问用户邮件地址，这样做的目的是保护隐私。该规则通过访问控制列表 (ACLs) 执行，但当 HackerOne 推出新的保护层时，该 ACL 规则未能被正确实现，因此导致用户的邮件地址遭暴露。

该漏洞可通过 HackerOne 平台的演示计划被用于实现恶意目的。

HackerOne 解释称，“HackerOne 为客户提供演示计划，使其能够体验产品也能让黑客测试我们的生产系统。如果你是演示计划中的团队成员，那么就可以演示报告界面。在报告界面中，你可邀请外部人员（任意平台用户）加入报告。通过用户名生成邀请，之后查看邀请，用户的邮件地址本可遭暴露。”

HackerOne 平台为该白帽子颁发7500美元的奖励金，而由于该漏洞是在有问题的功能被推出不到24小时的时间内被发现的，因此黑客还额外获得1000美元的奖金。HackerOne 平台在上周已发布该漏洞的详情。

这并非 HackerOne 平台首次为平台漏洞颁发巨额奖励金。去年，一名白帽黑客演示自己能够访问私密漏洞报告后，获得了2万美元的奖励金。

推荐阅读

@开发：不必太自责，连 Hackerone 平台都差点因 RFC2142合规问题栽了

原文链接

https://www.securityweek.com/hacker-earns-8500-vulnerability-hackerone-platform

题图：Pixabay License

转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 点个“在看”，bounty 不停~