“那价值12,500美元的GraphQL故障:曝光了HackerOne自家的黑客”
在研究API安全漏洞时,我遇到了一个引人入胜的案例。研究员0xrayan1996在HackerOne自家的平台上发现了一个严重的信息泄露漏洞。这个案例表明,即便是专注于安全的公司,也可能在其GraphQL实现中忽略基本的访问控制检查。
漏洞:当协作功能泄露私人数据时
问题出在HackerOne的报告协作系统中,具体而言是在SaveCollaboratorsMutation这个GraphQL操作上。该功能允许研究员邀请协作者参与漏洞报告,但在处理邮箱地址的方式上存在一个严重缺陷。
攻击流程:
- 在HackerOne上创建一个虚拟的漏洞报告。
- 邀请其他研究员作为协作者。
- 在管理协作者时拦截GraphQL请求。
- 观察到API响应中包含了受邀用户的私人邮箱地址——甚至在他们接受协作请求之前。
该漏洞使得任何研究员都能够发现其他HackerOne用户的私人邮箱地址,其中包括顶级黑客和项目……FINISHED CSD0tFqvECLokhw9aBeRqvYTD3cAv2GUNlJNRecGo+IBSQ1R7ChZ8BwmTtY7QPHKYlL4KZxG6u3Rx/LnehoB9V8msWAbtwgq6DI7qMJw+lal/hRI94Vjxo+xill+REXuXKvLRcbrmd3aEAZ/nD+6oA==
