“价值12500美元的GraphQL故障:暴露了HackerOne自己的黑客”
在研究API安全漏洞时,我遇到了一个引人入胜的案例:研究员0xrayan1996在HackerOne自己的平台上发现了一个严重的信息泄露漏洞。这个漏洞表明,即使是专注于安全的公司,也可能在其GraphQL实现中忽略基本的访问控制检查。
免费链接 按下回车键或点击以查看完整尺寸的图片
漏洞详情:当协作功能泄露私人数据时
问题出在HackerOne的报告协作系统中,特别是SaveCollaboratorsMutation这个GraphQL操作上。该功能允许研究员邀请协作者加入漏洞报告,但在处理邮箱地址的方式上存在一个关键缺陷。
攻击流程:
- 在HackerOne上创建一个虚拟的漏洞报告
- 邀请其他研究员作为协作者
- 在管理协作者时拦截GraphQL请求
- 观察到API响应包含了被邀请用户的私人邮箱地址——甚至在他们接受协作请求之前
该漏洞允许任何研究员发现其他HackerOne用户的私人邮箱地址,包括排名靠前的黑客和项目……FINISHED CSD0tFqvECLokhw9aBeRqvYTD3cAv2GUNlJNRecGo+IBSQ1R7ChZ8BwmTtY7QPHKYlL4KZxG6u3Rx/LnehoB9V8msWAbtwgq6DI7qMJw+lal/hRI94Vjxo+xill+REXuXKvLRcbrmd3aEAZ/nD+6oA==
