因分页参数清洗不足导致的高资源消耗漏洞剖析

本文披露了在Flickr平台上发现的一个安全漏洞。攻击者通过向分页页面URL提交一个超出实际页数的巨大页码参数,可触发服务端逻辑陷入无限循环,导致高资源消耗。该问题被评定为中等严重性并获得了相应赏金。

Flickr | 报告 #1916400 - 因论坛主题分页参数清洗不充分导致的高资源消耗

报告摘要 在某些采用分页的页面上,如果通过URL提供的页码数字大于实际可用的页面总数,内部逻辑将导致一个无限循环,并在每次循环迭代中生成标记语言。通过修正此逻辑,可以轻松纠正此情况,并避免生成指向不存在页面的链接。

时间线

  • 2023年3月24日,00:43 UTCmaskopatol 向 Flickr 提交了一份报告。
  • 2023年3月24日,22:46 UTC:Flickr 员工 pdokas 将严重性从“中等”更新为“中等(5.3)”。
  • 2023年3月24日,22:47 UTC:Flickr 员工 pdokas 发表了一条评论。
  • 2023年3月24日,22:47 UTC:Flickr 奖励 maskopatol 479美元赏金。
  • 2023年3月24日,22:53 UTC:Flickr 员工 pdokas 将状态更改为“已分类”。
  • 2023年3月24日,23:14 UTCmaskopatol 发表了一条评论。
  • 2023年11月28日,18:32 UTC:Flickr 员工 dmintonsmugmug 将状态更改为“重新测试”。
  • 2023年11月28日,19:01 UTCmaskopatol 完成了重新测试。
  • 2023年11月28日,19:06 UTC:Flickr 接受了重新测试人员的完成结果。
  • 2023年11月28日,19:06 UTC:Flickr 员工 dmintonsmugmug 将状态更改为“已分类”。
  • 2025年8月6日,21:12 UTC:Flickr 员工 dmintonsmugmug 将状态更改为“已分类”。
  • 2025年10月8日,23:51 UTC:Flickr 员工 dmintonsmugmug 将状态更改为“重新测试”。
  • 2025年10月9日,12:37 UTCmaskopatol 完成了重新测试。
  • 2025年10月9日,14:40 UTC:Flickr 接受了重新测试人员的完成结果。
  • 2025年10月9日,14:40 UTC:Flickr 员工 dmintonsmugmug 关闭报告并将状态更改为“已解决”。
  • 2025年11月21日,16:43 UTCmaskopatol 请求公开此报告。
  • 大约15天前:Flickr 员工 pdokas 同意公开此报告。
  • 大约15天前:此报告已被公开。

报告详情

  • 报告时间:2023年3月24日,00:43 UTC
  • 报告者:maskopatol
  • 报告对象:Flickr
  • 管理方:Flickr
  • 参与者:-
  • 报告ID:#1916400
  • 状态:已解决
  • 严重性:中等(5.3)
  • 公开日期:2025年11月24日,22:33 UTC
  • 弱点类型:无限分配资源(无限制或节流)
  • CVE ID:无
  • 赏金:479美元
  • 账户详情:无
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次