Virus Total:泄露你公司机密的“最佳”途径

iso60001  2139天前

22.png

大家好,今天我想分享一个有趣的黑客技巧,就是你可以利用Virus Total来获取某些公司的机密信息。

什么是Virus Total?

Virus Total是整合了众多杀毒产品的在线病毒扫描引擎,以供用户发现一些自己的防护软件不能查杀的病毒,或对一些可疑的病毒报警进行二次验证。同时,防病毒软件制造商也可以了解到哪些是自己的杀毒引擎不报警,而其他杀毒引擎报警的恶意文件,以帮助其改进产品。最后,这也会提升VirusTotal整体的查杀能力。另一方面,用户还可以输入相关URL来搜索VirusTotal的识别数据集。(维基百科)

从以上描述,我们知道该网站允许用户提交一个文件或URL,由数十个防病毒引擎进行扫描。但是,这个此功能存在一个严重的缺陷:任何用户的提交操作都被存储下来,而且任何人都可以访问这个存储记录。

用户提交可疑文件的记录被其他人访问当然不是问题,因为用户无法直接下载恶意软件。然而,对于用户提交的可疑URL,任何用户却都可以直接看到。

如果你经常上Hackerone,也许你还记得mohammed__fayez提交的这份报告(https://hackerone.com/reports/378122)。他发现Hackerone的用户提交了一个包含敏感令牌的链接。由于任何人都可以看到被扫描的URL,所以任何人都可以看到敏感令牌,并非法使用它。

我们到底能找到什么?

基于Hackerone的那个黑客报告,我决定在其他公司的网站上试试同样的方法,看能发现什么。

Discord:

如果你使用Discord网站,那你肯定知道在12月发起的“Discord Gift”计划。Discord的这个福利计划允许用户付款购买礼物并赠送给联系人。为了实现这个功能,Discord使用了一个特定的域名:discord.gift

那么让我们检查一下 Virus Total:

33.jpg

以上这些链接可以让你获得某个用户已经支付过的礼物。当然,图片里的这些URL都已经被使用了。如果你利用这个方法找到了一个有效URL,请遵守规则,不要违法使用(有人会因此承受经济损失!)

某个随机网站:

在接下来的部分,我将以不披露网站名称的方式说明我发现的问题。

令牌泄露:

大多数情况下,您会发现某些网站用户的敏感令牌信息:

44.png

公司机密:

令牌泄漏一般只会影响个别用户。公司的敏感信息泄露带来的影响无法评估,如商业战略、内部子域名等。

55.jpg

结论

Virus Total确实是一个真正伟大的工具,它能免费用多个杀毒引擎扫描你的软件。但是,你应该小心使用它,以避免泄露任何敏感信息。

如果你是漏洞猎人,我强烈建议把Virus Total加入你的侦察范围。这个网站也许可以成为你的金矿!

如果你是大公司,定期检查Virus Total上有关你公司的数据,确保没有任何敏感信息泄露。

希望你喜欢这篇文章!

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@YumiSec/virus-total-the-best-way-to-disclose-your-company-secrets-92988396f36a

最新评论

昵称
邮箱
提交评论