漏洞挖掘365天挑战——Day041:skavans的第一个五位数漏洞奖励

链接: https://t.me/BugBountyPLZen/8

故事

我从 Gitlab (https://hackerone.com/gitlab) 收到了第一笔五位数的付款(10,000 美元)。

这发生在我辞掉工作并开始全职寻找错误一个月后。在此之前,我只是偶尔在早上上班前或晚上下班后进行 bug 搜索。

刚被解雇,我就意识到事情很严重,我至少需要维持以前的收入水平。我决定选择一个我喜欢的产品的程序(因为我不仅想赚钱,还想改进我最喜欢的产品)。但也是一个支付良好的。总的来说,我选择了 gitlab。

而一切都没有按计划进行。我工作了很多 – 肾上腺素,当然,因为害怕没有钱。我每天工作 10 个小时,休息几天。结果,到月底,我发现了几个小错误:内容欺骗和非常糟糕的信息披露。因此,总的来说,我并不希望获得丰厚的收入。我记得现在的情况:晚上我不得不和朋友一起去喝啤酒,离家还有一点时间,我坐着,一如既往地研究应用程序。

技术细节

在管理员下登录,遇到了非人格化的功能。这是管理员可以选择任何用户并在他下登录的时候,只需按一个按钮。显然,调试错误或帮助设置。试图以这种方式和那种方式用这个功能做一些事情,但什么都没有。

它是这样工作的。当管理员单击模拟时,会向他(代表模拟用户)提供一个新的会话 cookie。然后他有一个停止模拟按钮,单击该按钮后,他的管理会话 cookie 将返回。

在我研究它是如何工作的时候,我自己也以模拟用户身份登录。而且我注意到,当管理员假装是他的那一刻,在用户的个人帐户中,在活动会话列表中(嗯,你经常可以点击“终止所有其他会话”),这个会话出现了,在它下面管理员。

我开始查看有关此会话的哪些信息可供用户使用。事实证明,除了一些 ID,几乎什么都没有,当试图终止这个会话时,它是可见的。我突然意识到这个 ID 的格式在某种程度上非常熟悉。然后我明白这只不过是会话 cookie 的价值。

因此,例如,在登录时,用户会被设置一个会话 cookie
id=12345
如果他想在打开的会话列表中终止这个会话,则发送一个请求
/stop_session?id=12345

同样的事情也适用于管理员所在的会话。因此,我知道他的这个 cookie,我可以在这个特定的会话下登录。

还记得,我说过这样一个会话下的管理员有一个“注销回到管理员”按钮吗?所以我很感兴趣在这种情况下我是否会有同样的情况:) 好吧,获得的赏金暗示是的,它已经出现了。

因此,当管理员冒充任何用户时,该用户可以自己在这个棘手的管理员会话下登录,然后返回管理员。这就是特权的升级。

我在提交它时将它评为关键错误并认为:
“哇,他们可能会付给我 5000 美元,比以往多 2 倍。”当我在邮件中看到我的第一笔五位数的付款时,我仍然记得我的感受 🙂

报告链接:
https://hackerone.com/reports/493324

我的想法

目标选择确实太重要的,挖gitlab还是挺难的,但是作者的想法是想让自己熟悉的产品更好,这就是一个更好的目标选择。

首先,你选择的目标是你熟悉的,那你就不需要花更多的时间去熟悉业务了。

第二,你很熟悉,基本都是用户量比较大的产品,而且gitlab还是开源的,奖金也比较多。

第三,让自己喜欢的产品变得更好,有成就感。

漏洞挖掘365天挑战——Day041:skavans的第一个五位数漏洞奖励”的一个响应

漏洞挖掘365天挑战 – Pxiaoer's Blog进行回复 取消回复

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s