我在知名SIEM私有程序中发现高危漏洞的经历
Assalamu’alaikum warahmatullah…大家好,请允许我自我介绍——我的名字是Idris,我是一名充满激情的漏洞猎人。
这是我在Medium上的第一篇文章,我会尽力让这篇文章尽可能引人入胜。
几年前进入漏洞赏金领域后,我很快意识到你并不总是需要零日漏洞或高级模糊测试工具来获得有意义的奖励。有时候,一个恰到好处的"基础"漏洞就足够了。
在本文中,我将分享通过漏洞赏金计划报告的一个漏洞。这是一个不当访问控制漏洞(OWASP API Top 10 - A01:2021:破坏的访问控制),在一个与Elastic等平台竞争的知名SIEM程序中,某个API端点暴露了其他用户的私有记录。我将解释如何发现这个漏洞,包括使用的步骤和工具,以便读者更好地理解如何在自己的漏洞赏金研究中识别类似漏洞。
除了Burp Suite和漏洞猎人的逻辑思维外,不需要特殊工具。
这就是我在测试环境中发现一个简单的不当访问控制漏洞的故事——这个发现获得了1800美元(高危)的奖励。如果你是漏洞赏金的新手,或者只是需要提醒自己基础知识仍然很重要,这个故事就是为你准备的。
漏洞发现过程
8月13日星期三21:56,我收到一封邀请我加入私有程序测试他们系统的电子邮件——奖金金额已经列出,如下图所示:
当邀请到达时,不幸的是我正在前往印度尼西亚参加一个国际黑客活动。所以长话短说,我在活动结束几天后开始了狩猎。2025年8月18日,我打开我的工具包(我的个人笔记本电脑)并开始探测目标Web应用程序,逐步探索其流程。
让我们称目标为REDACTED.COM——http://redacted.com:8000/en-US/app/launcher/home。我首先检查了主页。作为所有者,我创建了一个只有我能看到的私有笔记,然后邀请一个新用户作为"攻击者",具有非常低权限的角色(用户)。
乍一看,UI中的服务器逻辑看起来是正确的:普通用户不应该能够看到属于管理员或其他具有相同角色的用户的私有笔记。来自经验丰富的漏洞猎人的专业提示:
永远不要相信UI强制执行的内容。如果UI限制访问,请始终测试底层API端点并设计几个巧妙的场景。
作为攻击者,我随后尝试调用管理员私有笔记的API端点。
|
|
正如预期的那样,攻击者仍然无法访问管理员的私有笔记——服务器返回了403禁止响应。😔
我决定在私有笔记功能内尝试不同的场景。作为所有者,我将笔记的可见性更改为仅管理员可见(这样任何具有管理员角色的成员都可以查看该笔记)。
然后我切换回攻击者账户,再次调用相同的API端点。
你猜怎么着?感觉就像中了头奖——免费找到了额外的10克黄金。我既欣慰又兴奋地发现,API响应泄露了仅限管理员的私有笔记,尽管攻击者账户只有普通用户角色。
报告和奖励
我立即录制了视频PoC,并通过知名的网络安全平台Intigriti在目标的私有漏洞赏金计划上起草了报告。报告于2025年8月18日04:27:31提交。四天后,我惊讶地收到了1500美元的直接奖励——根据赏金表分类为高危严重性的不当访问控制问题——加上300美元奖金。该单一报告的总支出为1800美元,于2025年8月22日06:26:07支付。
在私有目标上执行的步骤
- 作为管理员,邀请具有任何低权限角色或能力的攻击者账户(例如,具有accelerate_search能力的角色)
- 作为管理员,创建新账户和标记为"由我的管理员共享"的笔记,然后限制该笔记仅对 fellow 管理员可见
- 作为攻击者,登录并打开书签页面 http://redacted.com:8000/en-US/app/launcher/home。攻击者无法通过UI看到仅限管理员的书签
- 作为攻击者,直接调用易受攻击的API端点
- 在REST API响应中,服务器泄露了应仅对管理员可见的书签信息
影响
严重性:高(私有书签泄露)
更广泛的风险:违反用户隐私;向未经授权的用户暴露敏感或管理数据。
时间线
- 发现:2025年8月18日
- 修补:2025年8月24日
- 奖励:2025年8月22日 - 1800美元
我不确定此报告是否发布了CVE,因为该程序尚未发布新版本。
Terima Kasih telah membaca dengan seksama! 感谢您的仔细阅读!希望您喜欢这篇报告——如果上帝愿意,我将会分享更多发现和有趣的技巧。❤️
联系我
如果您有问题、反馈,或想联系并讨论安全话题,请随时联系:
https://www.linkedin.com/in/mohammad-suropati-4bb557280/ https://www.instagram.com/muhammadidris0904/