Virus Total：泄露你公司机密的“最佳”途径

大家好，今天我想分享一个有趣的黑客技巧，就是你可以利用Virus Total来获取某些公司的机密信息。

什么是Virus Total？

Virus Total是整合了众多杀毒产品的在线病毒扫描引擎，以供用户发现一些自己的防护软件不能查杀的病毒，或对一些可疑的病毒报警进行二次验证。同时，防病毒软件制造商也可以了解到哪些是自己的杀毒引擎不报警，而其他杀毒引擎报警的恶意文件，以帮助其改进产品。最后，这也会提升VirusTotal整体的查杀能力。另一方面，用户还可以输入相关URL来搜索VirusTotal的识别数据集。（维基百科）

从以上描述，我们知道该网站允许用户提交一个文件或URL，由数十个防病毒引擎进行扫描。但是，这个此功能存在一个严重的缺陷：任何用户的提交操作都被存储下来，而且任何人都可以访问这个存储记录。

用户提交可疑文件的记录被其他人访问当然不是问题，因为用户无法直接下载恶意软件。然而，对于用户提交的可疑URL，任何用户却都可以直接看到。

如果你经常上Hackerone，也许你还记得mohammed__fayez提交的这份报告（https://hackerone.com/reports/378122）。他发现Hackerone的用户提交了一个包含敏感令牌的链接。由于任何人都可以看到被扫描的URL，所以任何人都可以看到敏感令牌，并非法使用它。

我们到底能找到什么？

基于Hackerone的那个黑客报告，我决定在其他公司的网站上试试同样的方法，看能发现什么。

Discord：

如果你使用Discord网站，那你肯定知道在12月发起的“Discord Gift”计划。Discord的这个福利计划允许用户付款购买礼物并赠送给联系人。为了实现这个功能，Discord使用了一个特定的域名：discord.gift

那么让我们检查一下 Virus Total:

以上这些链接可以让你获得某个用户已经支付过的礼物。当然，图片里的这些URL都已经被使用了。如果你利用这个方法找到了一个有效URL，请遵守规则，不要违法使用（有人会因此承受经济损失！）

某个随机网站：

在接下来的部分，我将以不披露网站名称的方式说明我发现的问题。

令牌泄露：

大多数情况下，您会发现某些网站用户的敏感令牌信息：

公司机密：

令牌泄漏一般只会影响个别用户。公司的敏感信息泄露带来的影响无法评估，如商业战略、内部子域名等。

结论

Virus Total确实是一个真正伟大的工具，它能免费用多个杀毒引擎扫描你的软件。但是，你应该小心使用它，以避免泄露任何敏感信息。

如果你是漏洞猎人，我强烈建议把Virus Total加入你的侦察范围。这个网站也许可以成为你的金矿！

如果你是大公司，定期检查Virus Total上有关你公司的数据，确保没有任何敏感信息泄露。

希望你喜欢这篇文章！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://medium.com/@YumiSec/virus-total-the-best-way-to-disclose-your-company-secrets-92988396f36a