作者在测试一个公司的漏洞的时候,发现了一个员工的密码。 他们在atlassian上检查的时候,发现可以登录。
但是登录之后,需要二次确认登录。但是他们没办法访问他的电子邮件。他们就开始测试atlassian的重新确定来试试是否有漏洞。
几个星期之后,他们由发现这家公司的几个员工的用户和密码,这次他们登录atlassian cloud 成功了,而且没有二次确认。 这次他们的报告被接受了。
这里的关键点其实是Atlassian的问题。
攻击者可以帮这个人注册Atlassian的账号,然后用户邮件会收到确定账户的通知。只要用户点击了,你注册时用的账号和密码就可以登录了。
这里有两个问题:
- 该公司没有使用atlassian云,那账号就是空的。
- 用户的电子邮件可能可以使用了,不可能重新注册。
所以要找到那些在使用Atlassian云,但是该员工并没有注册的邮件地址。
大规模测试
他们发现了这个逻辑问题之后,进行了大规模的注册。 这个漏洞,Atlassian给了600美元,但是那些被攻破的公司却给了我15000刀。确实区别非常大。
我的想法
这种第三方的应用,使用公司邮箱登录的,为啥还能设置密码呢。 我不是很理解,这里确实是由逻辑bug。感觉在国内也很多这种漏洞。
Pxiaoer's Blog 
[…] Day076:漏洞报告学习之 How I accidentally hacked many companies using N/A vulnerability in A… […]
赞赞