通过SCIM配置实现HackerOne账户接管漏洞分析

本文详细分析了HackerOne平台存在的SCIM配置漏洞,攻击者可通过Okta集成修改用户邮箱并重置密码,实现账户完全接管,涉及SSO验证缺陷和权限控制问题。

HackerOne报告#3178999 - 通过SCIM配置接管现有HackerOne账户

漏洞概述

安全研究员boy_child_发现HackerOne平台的SCIM(跨域身份管理系统)配置存在严重漏洞,允许攻击者接管现有用户账户。该漏洞源于HackerOne在SCIM集成过程中仅验证用户名域名的匹配性,而忽略邮箱地址的域名验证。

技术细节

前置条件

  • 已验证的域名
  • 正常工作的SSO配置

攻击步骤

  1. 在Okta中创建攻击者控制的用户(如attacker@verified.com)
  2. 通过Okta的HackerOne SCIM配置导入组织用户
  3. 将受害者账户分配给步骤1创建的用户
  4. 将邮箱参数字段修改为攻击者控制的已验证域名邮箱
  5. 重置密码完成账户接管

关键发现

  • 当攻击者修改邮箱字段时,系统不会向原用户发送通知
  • 密码重置操作同样不会触发用户通知
  • 默认演示账户(demo-member@hackerone.com)存在于所有新组织中,成为潜在攻击目标

影响评估

  • 机密性影响(VC:H): 攻击者可访问受害账户的所有信息
  • 完整性影响(VI:H): 可修改账户数据和权限
  • 攻击复杂度(AC:L): 攻击步骤相对简单
  • 漏洞仅限于特定目标账户,不会波及其他系统(SC:N/SI:N/SA:N)

修复方案

HackerOne开发团队已修复该漏洞,现在SCIM配置要求用户名和邮箱都必须属于组织内验证的域名。即使用户被导入并分配给现有用户,系统也会创建新用户而非覆盖原有邮箱地址。

时间线

  • 2025年6月5日: 漏洞报告提交
  • 6月16日: 漏洞确认并奖励发放
  • 6月17日: 修复验证完成
  • 7月17日: 报告公开披露

技术环境

  • 受影响系统: api.hackerone.com
  • 集成平台: Okta SSO + SCIM配置
  • 漏洞类型: 不正确的访问控制
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次