Blockstack浏览器全名字段输入限制缺失漏洞分析

本文详细分析了Blockstack浏览器全名字段缺乏输入长度限制导致的安全问题,包括可能引发的服务中断和密钥链绕过漏洞,展示了白帽黑客与厂商之间的完整沟通流程。

Hiro | 报告 #304073 - browser.blockstack.org 全名字符串长度限制缺失

跳过主内容 > 动态 机会 目录 排行榜 了解更多关于 HackerOne 登录

7#304073 复制报告ID 复制报告ID

browser.blockstack.org 全名字符串长度限制缺失

分享: 时间线 ID认证 已成功完成身份验证检查的黑客。

myskar 向 Hiro 提交了一份报告。 2018年1月11日,下午6:48 UTC

菜单 菜单

您好

漏洞标题: 在常规测试中,我发现用户全名字段没有限制可输入的文本量。

安全影响: 当文本大小足够大时,服务在我们的非生产环境(非高可用性)中导致短暂中断。内部重现显示在生产环境中存在孤立干扰但未导致中断。

缓解措施: 为缓解此问题,请像对邮箱和用户名字段已实施的限制一样,限制用户全名字段的输入长度。

如需更多信息,请随时询问。 乐意提供帮助。 此致, drougj

影响 当文本大小足够大时,服务在我们的非生产环境(非高可用性)中导致短暂中断。内部重现显示在生产环境中存在孤立干扰但未导致中断。

ID认证 已成功完成身份验证检查的黑客。

myskar 发表了一条评论。 2018年1月11日,下午6:49 UTC

菜单 菜单

您好 @team 让我更正上面报告中的安全影响字段。

安全影响 当文本大小足够大时,服务在生产环境中导致短暂中断。这可能导致服务器内存损坏。

您应将全名字段的大小限制为40到75个字符。 再次感谢。 drough

a-hiro 发表了一条评论。 2018年1月12日,下午3:19 UTC

菜单 菜单

您好 @drough 感谢您关注此事。我们认为这不是漏洞——错误仅发生在客户端,因为所有解析逻辑都在浏览器客户端进行。大的全名不会影响其他用户的服务正常运行时间。

ID认证 已成功完成身份验证检查的黑客。

myskar 发表了一条评论。 2018年1月12日,下午6:24 UTC

菜单 菜单

这导致我们的非生产环境出现短暂中断…我不仅仅是为了漏洞而做这件事。它可能导致服务器内存损坏。公司应将全名字段的大小限制为40到75个字符。:)

ID认证 已成功完成身份验证检查的黑客。

myskar 发表了一条评论。 2018年1月12日,晚上7:59 UTC

菜单 菜单

您好 @ablankstein 另外我想补充这个密钥链绕过,请看我的视频POC: drough 附件 附件 1个附件 F253434: poc.mp4

a-hiro 发表了一条评论。 2018年1月12日,晚上8:01 UTC

菜单 菜单

再次说明——这些数据不会导致服务器损坏,因为这些信息保留在客户端,因此只有攻击者自己的实例会受到影响。

ID认证 已成功完成身份验证检查的黑客。

myskar 发表了一条评论。 2018年1月12日,晚上8:04 UTC

菜单 菜单

@ablankstein 请看我的视频POC密钥链绕过 :)

a-hiro 发表了一条评论。 2018年1月12日,晚上9:55 UTC

菜单 菜单

您好 @drough ——您展示的视频确实是一个错误,但是,我们不认为这是一个安全漏洞。此提示仅用于鼓励用户保护他们的密钥链——如果他们有意绕过此提示,可能导致他们丢失自己的密钥链,但这只是他们自愿的行为。这可以在我们的blockstack-browser存储库中作为一个错误打开,但是,由于我们不认为这是一个安全漏洞,它不符合HackerOne问题的资格。

ID认证 已成功完成身份验证检查的黑客。

myskar 发表了一条评论。 2018年1月12日,晚上10:01 UTC

菜单 菜单

您好 @ablankstein 我认为这符合资格,我阅读了一些公开披露的绕过案例。但在这种情况下,这将是密钥链的绕过。呵呵。那么这份报告的状态将是什么? drough

a-hiro 关闭了报告并将状态更改为信息性。 2018年1月12日,晚上10:05 UTC

菜单 菜单

我们将关闭此报告并将其标记为信息性,因为报告提供了对我们有用的信息(一个用户体验错误),但没有直接的安全影响。密钥链并没有真正被绕过,只是用户备份密钥链的提醒可以被手动绕过(由该用户自己)。

ID认证 已成功完成身份验证检查的黑客。

myskar 请求披露此报告。 2018年1月12日,晚上10:08 UTC

菜单 菜单

好的,谢谢您 @ablankstein :) 我们可以吗?

ID认证 已成功完成身份验证检查的黑客。

myskar 发表了一条评论。 2018年1月12日,晚上10:09 UTC

菜单 菜单

等等,抱歉,请不要接受我的请求。谢谢您 @ablankstein

rafaelcr Hiro 员工 同意披露此报告。 7天前 此报告已被披露。 7天前

报告于 2018年1月11日,下午6:48 UTC 报告者 myskar 报告给 Hiro 参与者 报告ID #304073 信息性 严重性 无评级 (—) 披露时间 2025年10月31日,下午5:33 UTC 弱点CVE ID赏金账户详情

看起来您的 JavaScript 被禁用了。要使用 HackerOne,请在浏览器中启用 JavaScript 并刷新此页面。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次