mail.ru合作伙伴网站的管理平台的200万用户信息被披露

匿名者  2122天前

最近,我从漏洞悬赏网站上面随意浏览悬赏网站看是否能碰运气撞到漏洞,同时也可以从披露的漏洞信息中学到一些经验。为了在HackerOne提升排名,我决定在mail.ru站点上寻找漏洞。

本文将讨论mail.ru的主站以及子域名中的一些漏洞,其中一个漏洞可以未授权的情况下可以访问管理员面板,查看200万用户个人数据信息(如电子邮件/电话号码,家庭住址),涉及俄罗斯10多家热门网上商店。

为了在hackerone提交漏洞,我对3000个子域名全部进行逐一排查,并大约在3个月的时间内我提交了45个有效漏洞(40个现已修复,5个漏洞正在处理中)。

前段时间我开始研究子域名redacted_shop.mail.ru,这也是一个的网上商店。

大多数据情况下,渗透测试是从个人账户功能开始。该网站登陆方式有俩种:其一为通过o2.mail.ru进行Oauth(第三方网站账户)授权登陆,其二是通过电子邮件验证登陆。第二种方法的登陆流程为:用户输入邮箱,后端服务器发送验证到用户输入的邮箱,用户通过获取邮箱中的验证码输入验证表单进行登陆。在这里我发现了第一个漏洞,身份证验证漏洞:

当上用户输入验证码时,网页会自动将该验证码以表单形式发送到 redacted_shop.mail.ru 进行检测是否可以登陆,该功能通常被称为"自动登陆",往往出现在WAP站点中。因为该方法不安全性,所以使用这种方式进行登陆验证的情况很少。

漏洞影响:

  • 黑客可以通过暴力破解,伪造登陆验证码自动登陆

  • 自动登录连接是可以被搜索引擎被搜索到,容易被黑客滥用

通过可以自定义字典的dirb爆破目录之后,我开始测试表单功能,往表单的不同地方插入payload。但是有CSRF令牌,没有成功的绕过,同时通过模糊测试,也没发现的漏洞。

最后,我在我的个人资料以及评论写入了xss代码。

在00:10,我的xss平台收到了来自admin.xx.com/index站点的信息。但是我一开始认为登陆不了管理页面,因为大多数对情况下cookie受到了HTTP ONLY 的保护。

1.png

但是,我还是成功的进入了管理页面。该站点看起来像一个2000-2006年的管理系统,设计有很多缺陷,并且有很多php和SQL报错信息。

在我查看了主页信息之后,发现该管理页面与 mail.ru 相关,并且 redacted_shop.mail.ru 子域名上的订单是被第三方管理(后来我了解到redacted_shop.mail.ru不是由mail.ru开发的)。在管理面板中,可以查看、编辑和删除10多个网上商店中所有用户的订单,以及查看2017271个用户的个人数据。第二个漏洞xss被确认。

管理页面有一个功能可以下载所有用户信息,但该功能的php代码有bug不能下载,因此只能通过用户ID进行搜索用户信息。

当我进入管理面板并做了几张截图后,我立即写了一份安全报告。

00:20给目标管理员发送了一份详细报告。大约在00:43,mail.ru的安全主管 Sergey Belov 回复了我,并要求停止对我立即停止攻击。

2.png

第二天我发现该管理页面已经无法访问,该漏洞可能已经被修复。

不幸的是redacted_shop.mail.ru子域名不属于mail.ru 的测试范围内,无法获得漏洞奖励。但是我不甘在这个漏洞上花费的努力和时间,于是联系了管理面板本身的开发人员,并获得了奖励。

此外我还发送了一份报告,描述了第一个身份验证漏洞。但是,后面我收到来自mail.ru 的测试人员的消息说无法重现这个漏洞,很明显自动登录功能被开发人员禁用了。

几个月后,我发现自动登录功能又被打开了,我告诉了开发人员。终于,几天前,这个bug终于被修复了。

结论:

  • 切勿在授权中使用自动登录。
  • 通过ip,限制对管理面板的访问。
  • 不要在管理面板中使用过时的软件。
  • 在管理界面中过滤禁用字符["<>'/]以避免出现XSS漏洞

安全测试人员提示[Blind XSS]:

  • 在后台所有可能接收到用户输入的地方尝试插入xss代码。
  • 试试多种不同的html标签来绕过安全过滤。
  • 如果<>被过滤,试试另外一种xss代码";alert(1);//
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/bugbountywriteup/bug-bounty-mail-ru-234fa6f5a5a

最新评论

昵称
邮箱
提交评论