行业新闻与博客

印度的一名安全研究人员在 Facebook 和第三方商业情报门户网站中发现几个安全漏洞后，已获得了 31,500 美元的漏洞赏金。

在昨天（5月31日）发布的 Medium 帖子中，Bipin Jitiya 深入研究了他有史以来的第一笔漏洞赏金，以证明研究人员如何结合“安全的代码审查，枚举和脚本编写知识来发现严重漏洞”。

笔测试器和应用程序开发人员因四个发现中的两个而获得了三项奖励，并使用 MicroStrategy 的工具构建了一个可公开访问的端点的源代码，该内部盲 SSRF 的收入高达 30,000 美元，该工具使用自定义数据收集和内容生成功能。

MicroStrategy 与 Facebook 合作进行了数年的数据分析项目，在 Jitiya 也发现该平台的演示门户网站中存在该漏洞之后，又为相同的漏洞支付了 500 美元。

连锁反应

尽管 3 万美元的售价不容小,，但另一个有趣的发现并没有引起社会媒体巨头的报酬。

Jitiya 告诉 The Daily Swig ，他先前在 MicroStrategy Web SDK 源代码中发现的另一个盲目 SSRF，仅允许攻击者向内部和外部系统提交 GET 请求，这“单独产生了中等影响”。

他补充说，当他后来被“信息泄露所束缚”时，“其影响大大增加了”。

Net Square Solutions 的信息安全分析师 Jitiya 发现，Facebook 内部使用和用户外部使用的 URL 缩短器可能泄漏有关服务器的敏感信息。

这包括“有关日志文件夹的内部路径，其他文件路径，使用获取数据的内部系统查询，内部 IP 地址，内部 ID，与配置有关的信息，私有文档等的信息，而无需任何身份验证。

“通过利用此漏洞，攻击者就有可能枚举系统中存在的有效内部 URL。”

他在“中级帖子”中说，这可用于发起路径遍历和服务器端请求伪造（SSRF）攻击。

他告诉 The Daily Swig： “在最坏的情况下，如果攻击者找到用于更新或删除服务器内部文件的内部 URL，则攻击者可以通过与盲目的 SSRF 链接来执行该 URL，从而滥用该信息。”

“在相同情况下，还可能删除任何敏感文件，例如日志文件，配置文件……甚至在最坏的情况下，也会删除某些控制器文件，例如 login.php，profile.php 等。”

迷信

尽管 Jitiya 注意到 SSRF 的盲目错误已得到纠正，但 Facebook 表示这并不是对他的报告的回应，并且“很可能是最近添加的功能，无关的 bug 修复或基础架构 / 配置更改的副作用”。 。

Facebook 拒绝支付“在没有有效 POC 的情况下清楚显示内部 SSRF 的情况”。

相比之下，$ 30,000 的付款受到了制裁，因为“有可能对 Facebook 内部端点执行盲目 SSRF”。

Jitiya 告诉 The Daily Swig ，他还“尝试使用 gopher 包装器将 SSRF 转换为 RCE，但不幸的是，在 Facebook 服务器上禁用了 gopher 包装器。”

通过 Facebook 的 Bugcrowd 程序获得的 1,000 美元奖励源于 Jitiya 枚举防火墙环境后的内部 Facebook 基础设施，原因是发现“ shortURL”任务未能检查有效的身份验证会话，从而为未经身份验证的攻击者提供了进路。

Facebook 最初“不相信它是一个安全漏洞”，但在研究人员概述了由该漏洞引起的攻击情况（包括网络钓鱼和反映的跨站点脚本（XSS）攻击）后，才宽容了。

本文由机器译制