怎么分析HackerOne安全團隊內(nèi)部處理附件導(dǎo)出漏洞

本篇文章為大家展示了怎么分析HackerOne安全團隊內(nèi)部處理附件導(dǎo)出漏洞，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

大家好，今天我要和大家分享的是一個和HackerOne平臺相關(guān)的漏洞，該漏洞在于可以利用HackerOne平臺的“Export as.zip”功能（導(dǎo)出為.zip格式），把HackerOne安全團隊后臺的漏洞處理圖片附件導(dǎo)出。

漏洞說明

首先要說明的是，這個漏洞是我在2016年底就發(fā)現(xiàn)的漏洞了，HackerOne也已作了公開，在此想寫出來，一是為了分享，二是想告訴大家要發(fā)現(xiàn)漏洞其實也并不是那么難。

這是一個功能性Bug漏洞，屬于信息泄露漏洞，但是，基于該漏洞的嚴重性和對業(yè)務(wù)的影響程度，HackerOne決定給予我最高的漏洞賞金，這也是HackerOne自開通自身漏洞測試項目起，給出的單個提交漏洞最高獎勵。

漏洞嚴重性：高  (7.5)

漏洞定性: 信息泄露 (CWE-200)

漏洞端倪

HackerOne是一個知名的第三方漏洞眾測平臺，在HackerOne中，廠商的漏洞測試項目公開披露某個漏洞時，有兩種披露模式可選，一種是完全披露（Full disclosure），另一種是有限披露（ Limited disclosure）。其中，完全披露也就是我們平常在H1看到的正常披露方式，這種披露狀態(tài)下包括了漏洞信息、測試附件截圖和整個的漏洞處理進程；而有限披露中，則會對漏洞摘要信息進行隱藏，就連安全團隊與白帽之間的評論、溝通和操作處理進程等內(nèi)容也有所限制。

2016年11月14日，HackerOne平臺推出了一項名為“EXPORT”的報告導(dǎo)致新功能，可以在公開披露漏洞報告中的TIMELINE- EXPORT按鈕處找到，如下：

白帽子們在查看一些HackerOne公開披露的漏洞報告時，可以利用該功能導(dǎo)出報告，導(dǎo)出方式有View raw text（查看原始文本）和Export as .zip（導(dǎo)出為.zip格式）兩種。

View raw text（查看原始文本）：從中可查看到整個漏洞報告的文本文字，方便復(fù)制粘貼。如下：

Export as .zip（導(dǎo)出為.zip格式）：可以把整個漏洞報告的文本打包為.zip壓縮格式下載。如下：

漏洞發(fā)現(xiàn)

在HackerOne推出了這項報告導(dǎo)出功能之后的第三天，我才注意到，說實話我的節(jié)奏是有點晚了，但不管那么多，我還是著手來進行一些測試吧。11月17日那天，我先做的測試就是，導(dǎo)出一些編輯過的限制型披露報告，看看能否在其中能看到一些編輯隱藏（redacted）的文本內(nèi)容，但最后發(fā)現(xiàn)，這根本不可以。

11月29日，當我在HackerOne的hacktivity上查看披露漏洞時，我忽然看到名為@faisalahmed的白帽提交了一個與HackerOne報告導(dǎo)出功能相關(guān)的漏洞，在提交漏洞中，@faisalahmed描述了他可以通過View raw text（查看原始文本）方式看到一些編輯隱藏的限制型內(nèi)容（redacted text），What，真的嗎？！我怎么一直沒發(fā)現(xiàn)呢！在看了@faisalahmed的漏洞報告后（https://hackerone.com/reports/182358），我才發(fā)現(xiàn)人家是在報告導(dǎo)出功能后的第二天就提交了這個漏洞了，我完全落后了！

好吧，算我沒那個運氣吧，那就來認真閱讀一下人家的漏洞報告吧。于是，我就點擊了“EXPORT”按鈕把整個漏洞報告導(dǎo)出為.zip格式進行了下載。

當我解壓了.zip格式的壓縮包后，看到其中包含了一個text文檔和一張圖片，text文檔說明了整個漏洞的處理進程和結(jié)果，但，等等....，這里的這張圖片是什么東東？我迫不及待地打開一看，這是一張漏洞驗證（PoC）的截圖，但是在HackerOne公開披露的報告中沒有這張圖片?。《?，我在報告中還看到@faisalahmed希望HackerOne在報告公開后，移除一張圖片附件的評論請求，如下：

如果我沒猜錯的話，這張圖片就是@faisalahmed希望HackerOne移除的那張圖片附件，由此，我立馬寫了一個以下的簡單漏洞重現(xiàn)步驟，向HackerOne提交了這個漏洞。

漏洞重現(xiàn)步驟：

1、訪問@faisalahmed提交的漏洞報告 https://hackerone.com/reports/182358

2、點擊“EXPORT”按鈕，用 Export as .zip 功能把漏洞報告導(dǎo)出為.zip壓縮格式

3、解壓.zip格式報告壓縮包(HackerOne_Report-security#182358.zip)

4、可以查看到公開披露報告中已經(jīng)移除的圖片附件

上報漏洞僅12分鐘之后，HackerOne安全團隊就確認并分類了該漏洞：

20分鐘之后，HackerOne安全團隊就執(zhí)行了修復(fù)，并向生產(chǎn)環(huán)境系統(tǒng)中部署了解決方案：

兩天之后，HackerOne官方向我獎勵了自其漏洞測試項目開展以來的最高獎勵 ?$12,500 美金：

漏洞修復(fù)

現(xiàn)在，當我們以.zip格式下載任何一個HackerOne公開披露的漏洞報告后，也已經(jīng)無法在其中查看到任何作了刪除和編輯隱藏的截圖附件，只包含了一個txt的漏洞文本。

上述內(nèi)容就是怎么分析HackerOne安全團隊內(nèi)部處理附件導(dǎo)出漏洞，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注億速云行業(yè)資訊頻道。