实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金


前言

让我们开始了解我是如何发现导致敏感信息泄露的 API 配置错误的。

设想

这个问题还没有解决,所以我不能透露那个程序的名字。

假设该程序为 https://redacted.com。

Web 应用程序是关于基于团队的组织,那里也有 api 相关的东西。我试图找到 XSS、SQLi、idors,但没有任何效果。

然后我转到 https://YourDomain.redacted.com 有一些组织类型功能,我可以在其中添加或删除其他用户。

图片[1]-实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金-NGC660 安全实验室

添加一些用户后,有一个组织数字 ID 引起了我的注意。

图片[2]-实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金-NGC660 安全实验室

我创建了另一个帐户并尝试添加/删除具有该组织 ID 的帐户用户,但没有任何反应。

在那之后我想我应该放弃并改变我的目标,但是在https://testapp.redacted.com /# /organization/1111( org_id ) 中有一个 api 端点正在获取我的个人详细信息,比如我的电子邮件、ip 地址、姓名、2FA 号码、访问令牌、上次登录和注销信息、帐户创建信息、我在组织中的角色以及更多内容。

图片[3]-实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金-NGC660 安全实验室

我首先想到的是如果我可以从不同的帐户访问或查看这些敏感信息。

我邀请了另一位只能查看角色的成员。通常只查看成员甚至不能看到其他成员。

我使用该仅供查看的会员帐户访问了

https://testapp.redacted.com/#/organization/1111 。

Boom,发现敏感信息泄露

由于 api 配置错误,我能够看到添加到该组织的所有用户的所有敏感信息。

我能够看到所有用户的个人详细信息,如其他用户的电子邮件、IP 地址、姓名、2FA 号码、访问令牌、上次登录和注销信息、帐户创建信息、其他用户在组织中的角色等等。

步骤重现:

1.访问https://redacted.com并以管理员身份登录

2.添加一些具有View-only member permission 权限的用户。

3.以这些会员帐户中的任何一个登录。

4.导航到https://testapp.redacted.com/#/organization/ {{org id}}

能够泄露所有用户的敏感信息。

图片[4]-实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金-NGC660 安全实验室

我做了一个详细的报告和视频 poc 然后将问题提交给程序

漏洞报告

2022 年 2 月 4 日报告

2022 年 2 月 7 日

图片[5]-实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金-NGC660 安全实验室

他们在当天给了我 750 美元的赏金

TIPS

如果有 API 端点,请始终对您的 Cookie 进行模糊测试。

永远不要失去希望,要坚持。

图片[6]-实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金-NGC660 安全实验室

作者:rynex797

本文作者:HACK_Learn

本文为安全脉搏专栏作者发布:https://www.secpulse.com/archives/195312.html

© 版权声明
THE END
喜欢就支持一下吧
点赞5 分享