用户隐藏评论漏洞:绕过修复的社交平台安全缺陷
出于对平台漏洞赏金计划披露政策的尊重,同时避免在其他平台引发类似滥用行为,本文使用[已隐去]代替平台名称。虽然该漏洞已被修复,但平台从未公开承认此报告,因此我将细节控制在最小范围内以保护平台和流程的完整性。
在探索[已隐去]如何处理用户交互时,我发现了一个漏洞:用户可以在创作者的帖子下发表评论,然后立即屏蔽创作者——这使得该评论对创作者不可见,但对其他所有人仍然可见。
是的,创作者完全看不到这条评论。无法审核,无法回复,什么也做不了。
🔍 发现过程
以下是我的测试步骤:
- 账户A:发布帖子
- 账户B(攻击者):在该帖子下发表评论
- 账户B:立即屏蔽账户A
- 账户A:检查评论——看不到账户B的评论
- 账户C:查看同一帖子——可以正常看到评论
这实际上允许攻击者留下创作者无法检测或审核的评论。
问题严重性
这个漏洞使得攻击者能够:
- 发表辱骂性、垃圾或误导性评论
- 然后屏蔽创作者
- 有效使评论无法被审核或删除
创作者被蒙在鼓里。他们看不到评论,无法回应,最重要的是——无法删除它。
这就像有人在你的墙上涂鸦,然后让你看不见它,而整个社区都在观看。
报告时间线
- 2021年5月5日——提交报告
- 2021年5月25日——安全团队分类处理
- 2021年6月2日——获得赏金奖励💰
- 2021年8月26日——标记为已解决✅
- 同一天——我回复了新的绕过方法
- 2022年7月18日——在修补第二个绕过后确认再次解决