mail.ru合作伙伴网站的管理平台的200万用户信息被披露

Track-SSG   ·   发表于 2019-03-04 10:54:23   ·   黑客新闻

最近,我从漏洞悬赏网站上面随意浏览悬赏网站看是否能碰运气撞到漏洞,同时也可以从披露的漏洞信息中学到一些经验。为了在HackerOne提升排名,我决定在mail.ru站点上寻找漏洞。

本文将讨论mail.ru的主站以及子域名中的一些漏洞,其中一个漏洞可以未授权的情况下可以访问管理员面板,查看200万用户个人数据信息(如电子邮件/电话号码,家庭住址),涉及俄罗斯10多家热门网上商店。

为了在hackerone提交漏洞,我对3000个子域名全部进行逐一排查,并大约在3个月的时间内我提交了45个有效漏洞(40个现已修复,5个漏洞正在处理中)。

前段时间我开始研究子域名redacted_shop.mail.ru,这也是一个的网上商店。

大多数据情况下,渗透测试是从个人账户功能开始。该网站登陆方式有俩种:其一为通过o2.mail.ru进行Oauth(第三方网站账户)授权登陆,其二是通过电子邮件验证登陆。第二种方法的登陆流程为:用户输入邮箱,后端服务器发送验证到用户输入的邮箱,用户通过获取邮箱中的验证码输入验证表单进行登陆。在这里我发现了第一个漏洞,身份证验证漏洞:

当上用户输入验证码时,网页会自动将该验证码以表单形式发送到 redacted_shop.mail.ru 进行检测是否可以登陆,该功能通常被称为"自动登陆",往往出现在WAP站点中。因为该方法不安全性,所以使用这种方式进行登陆验证的情况很少。

漏洞影响:

  • 黑客可以通过暴力破解,伪造登陆验证码自动登陆

  • 自动登录连接是可以被搜索引擎被搜索到,容易被黑客滥用

  • 通过可以自定义字典的dirb爆破目录之后,我开始测试表单功能,往表单的不同地方插入payload。但是有CSRF令牌,没有成功的绕过,同时通过模糊测试,也没发现的漏洞。

    最后,我在我的个人资料以及评论写入了xss代码。

    在00:10,我的xss平台收到了来自admin.xx.com/index站点的信息。但是我一开始认为登陆不了管理页面,因为大多数对情况下cookie受到了HTTP ONLY 的保护。

    1.png

    但是,我还是成功的进入了管理页面。该站点看起来像一个2000-2006年的管理系统,设计有很多缺陷,并且有很多php和SQL报错信息。

    在我查看了主页信息之后,发现该管理页面与 mail.ru 相关,并且 redacted_shop.mail.ru 子域名上的订单是被第三方管理(后来我了解到redacted_shop.mail.ru不是由mail.ru开发的)。在管理面板中,可以查看、编辑和删除10多个网上商店中所有用户的订单,以及查看2017271个用户的个人数据。第二个漏洞xss被确认。

    管理页面有一个功能可以下载所有用户信息,但该功能的php代码有bug不能下载,因此只能通过用户ID进行搜索用户信息。

    当我进入管理面板并做了几张截图后,我立即写了一份安全报告。

    00:20给目标管理员发送了一份详细报告。大约在00:43,mail.ru的安全主管 Sergey Belov 回复了我,并要求停止对我立即停止攻击。

    2.png

    第二天我发现该管理页面已经无法访问,该漏洞可能已经被修复。

    不幸的是redacted_shop.mail.ru子域名不属于mail.ru 的测试范围内,无法获得漏洞奖励。但是我不甘在这个漏洞上花费的努力和时间,于是联系了管理面板本身的开发人员,并获得了奖励。

    此外我还发送了一份报告,描述了第一个身份验证漏洞。但是,后面我收到来自mail.ru 的测试人员的消息说无法重现这个漏洞,很明显自动登录功能被开发人员禁用了。

    几个月后,我发现自动登录功能又被打开了,我告诉了开发人员。终于,几天前,这个bug终于被修复了。

    结论:

  • 切勿在授权中使用自动登录。
  • 通过ip,限制对管理面板的访问。
  • 不要在管理面板中使用过时的软件。
  • 在管理界面中过滤禁用字符["<>'/]以避免出现XSS漏洞
  • 安全测试人员提示[Blind XSS]:

  • 在后台所有可能接收到用户输入的地方尝试插入xss代码。
  • 试试多种不同的html标签来绕过安全过滤。
  • 如果<>被过滤,试试另外一种xss代码";alert(1);//
  • 来源:https://medium.com/bugbountywriteup/bug-bounty-mail-ru-234fa6f5a5a
               


    打赏我,让我更有动力~

    0 条回复   |  直到 2019-3-4 | 1650 次浏览
    登录后才可发表内容
    返回顶部 投诉反馈

    © 2016 - 2024 掌控者 All Rights Reserved.