我发现了一个价值8500美元的 HackerOne 平台漏洞

聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

一名白帽黑客发现了 HackerOne 平台上的一个严重漏洞,可导致用户的邮件地址遭暴露,他为此赢得8500美元的奖励金。

本月早些时候,昵称为 “msdian7” 的黑客发现HackerOne 漏洞奖励平台新推出的一个新功能引发了一个漏洞,可被用于获取任意 HackerOne 用户的邮件地址。

该功能于210日推出,msdian7 在第二天就发现了这个漏洞。几小时后HackerOne 修复了该漏洞并在当天向因msdian7 开展测试活动而受影响的两名用户发出通知。

HackerOne 平台指出,该漏洞是一个授权不当问题,和该平台的邀请系统有关。漏洞奖励计划管理员通过该邀请系统邀请用户参加私密计划、获取奖励金或被添加至计划内。这些邀请可发送给用户名或邮件地址,但如果用户是基于用户名收到的邀请,则发件人无法访问用户邮件地址,这样做的目的是保护隐私。该规则通过访问控制列表 (ACLs) 执行,但当 HackerOne 推出新的保护层时,该 ACL 规则未能被正确实现,因此导致用户的邮件地址遭暴露。

该漏洞可通过 HackerOne 平台的演示计划被用于实现恶意目的。

HackerOne 解释称,“HackerOne 为客户提供演示计划,使其能够体验产品也能让黑客测试我们的生产系统。如果你是演示计划中的团队成员,那么就可以演示报告界面。在报告界面中,你可邀请外部人员(任意平台用户)加入报告。通过用户名生成邀请,之后查看邀请,用户的邮件地址本可遭暴露。”

HackerOne 平台为该白帽子颁发7500美元的奖励金,而由于该漏洞是在有问题的功能被推出不到24小时的时间内被发现的,因此黑客还额外获得1000美元的奖金。HackerOne 平台在上周已发布该漏洞的详情。

这并非 HackerOne 平台首次为平台漏洞颁发巨额奖励金。去年,一名白帽黑客演示自己能够访问私密漏洞报告后,获得了2万美元的奖励金。

推荐阅读

@开发:不必太自责,连 Hackerone 平台都差点因 RFC2142合规问题栽了

原文链接

https://www.securityweek.com/hacker-earns-8500-vulnerability-hackerone-platform

题图:Pixabay License

转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 点个“在看”,bounty 不停~    

你可能感兴趣的:(我发现了一个价值8500美元的 HackerOne 平台漏洞)