HackerOne 报告 #2119892 - 点击劫持可导致账户被接管
报告者: hyk3n 提交至: pixiv 提交时间: 2023年8月22日,下午5:07(UTC)
报告内容:
团队好。
在对网站进行测试时,我们发现一个端点调用:https://sketch.pixiv.net/draw。
利用此端点,我们可以通过点击劫持(clickjacking)诱骗用户进行虚假登录。
概念验证(PoC): github.com/shifa123/cl…
如PoC所示:
[视频文件 video4-1.ogv](视频引用,大小:7.27 MiB)
影响: 攻击者可诱骗用户执行各种非预期操作,例如输入密码、点击“删除我的账户”按钮、点赞帖子、删除帖子、在博客上发表评论等。换言之,正常用户可以在合法网站上执行的所有操作,均可通过点击劫持来实现。 附件:
- F2626044: pixiv.png
- F2626057: video4-1.ogv
报告信息摘要:
- 报告日期: 2023年8月22日,下午5:07(UTC)
- 报告者: hyk3n
- 报告对象: pixiv
- 管理方: HackerOne
- 参与者: 多名
- 报告 ID: #2119892
- 状态: 已解决
- 严重性: 低(3.8)
- 公开日期: 2026年1月18日,上午11:21(UTC)
- 弱点类型: 界面伪装(点击劫持)
- CVE ID: 无
- 赏金: $200
- 账户详情: 无 biOK/hzhVF2yKaGc5mK8oQ2l4nsdqRq1JKf1wL7Yga9+uHNHmNm0g03xgxOujMjK
