CSRF允许未授权修改███████上的用户笔记 | HackerOne报告 #3367292
摘要
CSRF漏洞允许攻击者仅通过点击链接即可更改用户的笔记。攻击者可以修改或删除用户留下的所有信息,根本原因是端点███████似乎没有实施CSRF攻击防护。
漏洞详情
攻击原理
一旦攻击者知道受害者的ID,他们可以发送恶意链接来修改或完全删除用户的笔记。此攻击的复杂性在于,攻击者需要是网站上与受害者同一组织的成员(被邀请),才能获取受害者的正确ID用于链接。
当您是组织的成员时,可以非常轻松地获取受害者的ID。第二种不太可能的情况是,如果攻击者确信用户是新注册的,他们会猜测受害者的ID为1。
复现步骤
- 在网站上下订单后登录到您的█████████████账户
- 登录后,您将看到共享笔记字段
- 在共享笔记字段中输入任何文本并点击保存笔记
- 打开Burp Suite并转到HTTP历史记录选项卡
- 找到端点POST █████的请求
- 右键单击该请求并选择Engagement tools → Generate CSRF PoC
- 编辑生成的PoC,将client_id参数设置为目标受害者的ID
- 将生成的HTML文件上传到任何网络托管或您自己的站点
- 以普通用户身份访问托管页面(或诱骗受害者访问它)。页面加载时,受害者的共享笔记将被修改或删除
受影响端点
|
|
CSRF PoC
|
|
影响分析
- 未经授权修改或删除用户的笔记
- 丢失存储在笔记中的重要数据或联系信息
- 攻击者可以向笔记中注入恶意链接或社交工程指令(支持网络钓鱼)
- 如果笔记包含敏感或受监管数据,存在隐私和合规风险
- 当攻击者是同一组织的成员时,爆炸半径增加(容易获取受害者client_id)
- 一旦知道client_id,攻击成本低但影响大 - 需要高严重性评级
时间线与讨论
初步提交与响应
2025年10月2日 - kanon4向Tucows (VDP)提交报告
HackerOne分析员回复: 报告已通过初步分析员审查。请注意,这并不确认验证 - 状态可能会在进一步审查后更改。
验证过程
2025年10月4日 - Tucows工作人员将范围从*.exacthosting.com更改为None,严重性从高(8.2)更新为中(6.1)
HackerOne分析员要求更多信息: 在███████████████上创建账户需要先下订单。您能否分享两种场景的虚拟账户凭据以便我们复现攻击?
具体需要:
- 所有者账户凭据 - 具有可被攻击的现有笔记的账户
- 成员账户凭据 - 同一组织成员的账户以获取受害者的client_id
技术讨论
研究人员回应: 提供了两个不同账户的凭据:
- 一个账户属于工作空间所有者(管理员)
- 另一个账户与之前是工作空间成员但已被移除的恶意用户相关联
HackerOne分析员关注点: 当攻击者被邀请到组织时(即使只有"查看域权限"),他们已经有通过正常应用程序功能编辑共享笔记的合法访问权限。
由于CSRF允许的攻击者作为组织成员已经可以执行的操作(编辑笔记),它不会绕过任何有意义的安全边界或提供额外的攻击能力。
研究人员进一步解释: 在现实场景中,此类攻击可能在成员已被组织解雇后发生。例如,被解雇的员工可能试图破坏组织的某些部分作为报复行为。
所有者的ID保持不变且不会更改。如果您尝试通过具有访问权限的员工账户修改笔记,您仍将看到相同的所有者ID。这意味着如果公司有许多成员,多个用户可能成为目标。
最终处理
2025年10月6日 - HackerOne分析员将严重性从中(6.1)更新为低(3.4)
2025年10月7日 - Tucows工作人员关闭报告并将状态更改为已解决
披露请求: 研究人员请求披露报告,并要求在公开前隐藏视频、截图和电子邮件地址。
最终评估: Tucows安全团队表示:“我们查看了提交内容,我们的意见是这是低风险,因为任何组织成员已经可以通过正常功能编辑共享笔记 - CSRF不会绕过任何有意义的安全边界。”
报告于2025年10月10日披露。
报告元数据
- 报告ID: #3367292
- 报告状态: 已解决
- 严重性: 低 (3.4)
- 弱点: 跨站请求伪造 (CSRF)
- CVE ID: 无
- 赏金: 隐藏
- 披露日期: 2025年10月10日