声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |
文章原文:https://gugesay.com/archives/3764
不想错过任何消息?设置星标↓ ↓ ↓
背景介绍
某一天悠闲的午后,白帽小哥Atikqur坐在办公桌前,在 Google Slides 上准备着一场活动的演讲稿。
幻灯片准备好后,开始点击演示者视图来预览它们,由于白帽小哥想与观众进行现场问答环节,因此他开始在网上搜索 Google Slides 是否有此类功能。
就在此时,偶然间发现了“观众工具”这项功能,要启用该功能的话,需要进入演示者视图,然后点击观众工具,然后点击“开始”。
漏洞发现
开始会议后,你会收到一个链接,观众可以在你演示时使用该链接实时提出问题。
好奇之下,白帽小哥复制了链接并在 Chrome 的无痕模式下打开,以探索观众如何进行提问。
原来任何人都可以提问,并且无需登录!问题框的用户界面看起来有点过时,于是小哥的漏洞挖掘本能被成功“激活”…
没有片刻犹豫,启动 Burp Suite 开始抓包,小哥注意到每次有人问问题时,POST 请求中都会包含一个唯一的 clientId。
因此每一条提问都有一个唯一的clientId ——这可能会存在一个潜在的漏洞!
任何人点击链接,所有问题都会加载带有唯一 clientId 的提问。
白帽小哥立即明白了这里可能存在什么样的BUG,小哥登录了两个不同的帐户,并从帐户 1 提交了一个问题“Test”。
然后,在另一个浏览器中使用 account-2,复制了 account-1 提问的 clientId,然后拦截account-2提交问题时的请求,然后将其clientId替换为account-1的clientId。
账户-1 提交的问题成功地被账户-2 的请求修改了,更关键的是,这甚至可以在不登录的情况下被利用。
小哥立即向谷歌报告了此事,谷歌第二天就关闭了该报告,并称安全风险极小(不予修复)。
但小哥知道这个漏洞的影响是明显的:无需用户交互即可利用它,也无需猜测或暴力破解 clientId,因为应用程序本身就提供了 clientId。
小哥礼貌地重申了关于该漏洞的观点,谷歌重新打开了问题并确认了它,然而十天后,报告再次被关闭,理由是由于“猜测”clientId,安全风险仍然很低。
小哥有些失望,猜测谷歌的安全团队并没有正确测试该漏洞,甚至他们可能都没有查看小哥提供的 PoC 演示视频,因为clientId是由应用程序本身自动加载的,因此根本没有必要去猜测clientId。
白帽小哥再次解释了这一点,并展示了攻击者如何毫不费力地提取clientId,最终谷歌的安全团队复现了该漏洞,并承认了漏洞影响,最终按照 S2 严重性类别奖励了小哥 3133.70 美元。
你学到了么?以上内容由骨哥翻译并整理。
原文:https://medium.com/@atikqur007/how-i-accidentally-found-an-idor-bug-in-google-slides-and-rewarded-3-133-70-96866fac3af1
加入星球,随时交流:
(前50位成员):99元/年
(后续会员统一定价):128元/年
感谢阅读,如果觉得还不错的话,欢迎分享给更多喜爱的朋友~
====正文结束====
