链接： https://t.me/BugBountyPLZen/8

故事

我从 Gitlab (https://hackerone.com/gitlab) 收到了第一笔五位数的付款（10,000 美元）。

这发生在我辞掉工作并开始全职寻找错误一个月后。在此之前，我只是偶尔在早上上班前或晚上下班后进行 bug 搜索。

刚被解雇，我就意识到事情很严重，我至少需要维持以前的收入水平。我决定选择一个我喜欢的产品的程序（因为我不仅想赚钱，还想改进我最喜欢的产品）。但也是一个支付良好的。总的来说，我选择了 gitlab。

而一切都没有按计划进行。我工作了很多 – 肾上腺素，当然，因为害怕没有钱。我每天工作 10 个小时，休息几天。结果，到月底，我发现了几个小错误：内容欺骗和非常糟糕的信息披露。因此，总的来说，我并不希望获得丰厚的收入。我记得现在的情况：晚上我不得不和朋友一起去喝啤酒，离家还有一点时间，我坐着，一如既往地研究应用程序。

技术细节

在管理员下登录，遇到了非人格化的功能。这是管理员可以选择任何用户并在他下登录的时候，只需按一个按钮。显然，调试错误或帮助设置。试图以这种方式和那种方式用这个功能做一些事情，但什么都没有。

它是这样工作的。当管理员单击模拟时，会向他（代表模拟用户）提供一个新的会话 cookie。然后他有一个停止模拟按钮，单击该按钮后，他的管理会话 cookie 将返回。

在我研究它是如何工作的时候，我自己也以模拟用户身份登录。而且我注意到，当管理员假装是他的那一刻，在用户的个人帐户中，在活动会话列表中（嗯，你经常可以点击“终止所有其他会话”），这个会话出现了，在它下面管理员。

我开始查看有关此会话的哪些信息可供用户使用。事实证明，除了一些 ID，几乎什么都没有，当试图终止这个会话时，它是可见的。我突然意识到这个 ID 的格式在某种程度上非常熟悉。然后我明白这只不过是会话 cookie 的价值。

因此，例如，在登录时，用户会被设置一个会话 cookie
id=12345
如果他想在打开的会话列表中终止这个会话，则发送一个请求
/stop_session?id=12345

同样的事情也适用于管理员所在的会话。因此，我知道他的这个 cookie，我可以在这个特定的会话下登录。

还记得，我说过这样一个会话下的管理员有一个“注销回到管理员”按钮吗？所以我很感兴趣在这种情况下我是否会有同样的情况:) 好吧，获得的赏金暗示是的，它已经出现了。

因此，当管理员冒充任何用户时，该用户可以自己在这个棘手的管理员会话下登录，然后返回管理员。这就是特权的升级。

我在提交它时将它评为关键错误并认为：
“哇，他们可能会付给我 5000 美元，比以往多 2 倍。”当我在邮件中看到我的第一笔五位数的付款时，我仍然记得我的感受 🙂

报告链接：
https://hackerone.com/reports/493324

我的想法

目标选择确实太重要的，挖gitlab还是挺难的，但是作者的想法是想让自己熟悉的产品更好，这就是一个更好的目标选择。

首先，你选择的目标是你熟悉的，那你就不需要花更多的时间去熟悉业务了。

第二，你很熟悉，基本都是用户量比较大的产品，而且gitlab还是开源的，奖金也比较多。

第三，让自己喜欢的产品变得更好，有成就感。