Flickr论坛分页参数未充分过滤导致高资源消耗漏洞分析

本文披露了Flickr论坛分页功能中的一个安全漏洞。攻击者通过传入超过实际页数的页码参数,可触发服务器端逻辑陷入无限循环,持续生成页面标记,导致高资源消耗。该漏洞已被修复,并获得了479美元的赏金。

Flickr漏洞报告 #1916400 - 论坛帖子分页参数消毒不足导致高资源消耗

概要

在某些分页显示的页面上,如果通过URL提供的页码数字大于实际可用的页面总数,内部的逻辑处理将陷入一个无限循环,每次循环迭代都会生成页面标记(markup)。通过修正此逻辑,可以轻松地纠正这种情况,避免生成指向不存在页面的链接。

时间线

  • 2023年3月24日,UTC 00:43 - 安全研究员 maskopatol 向 Flickr 提交了漏洞报告。
  • 2023年3月24日,UTC 22:46 - Flickr 员工 pdokas 将漏洞严重性更新为 中等(5.3分)
  • 2023年3月24日,UTC 22:47 - Flickr 员工 pdokas 发表评论。
  • 2023年3月24日,UTC 22:47 - Flickr 向 maskopatol 发放了 479美元 的漏洞赏金。
  • 2023年3月24日,UTC 22:53 - pdokas 将报告状态改为 已分类(Triaged)
  • 2023年3月24日,UTC 23:14 - maskopatol 发表评论。
  • 2023年11月28日,UTC 18:32 - Flickr 员工 dmintonsmugmug 将状态改为 重新测试(Retesting)
  • 2023年11月28日,UTC 19:01 - 安全研究员 maskopatol 完成了重新测试。
  • 2023年11月28日,UTC 19:06 - Flickr 接受了重新测试的结果。员工 dmintonsmugmug 将状态改回 已分类(Triaged)
  • 2025年8月6日,UTC 21:12 - 员工 dmintonsmugmug 再次将状态改为 已分类(Triaged)
  • 2025年10月8日,UTC 23:51 - 员工 dmintonsmugmug 将状态改为 重新测试(Retesting)
  • 2025年10月9日,UTC 12:37 - 安全研究员 maskopatol 完成了第二次重新测试。
  • 2025年10月9日,UTC 14:40 - Flickr 接受了第二次重新测试的结果。员工 dmintonsmugmug 关闭报告并将状态改为 已解决(Resolved)
  • 10天前 - maskopatol 请求公开此报告。
  • 6天前 - Flickr 员工 pdokas 同意公开此报告。
  • 6天前 - 此报告被公开。

报告详情

  • 报告时间:2023年3月24日,UTC 00:43
  • 报告人maskopatol
  • 报告对象:Flickr
  • 管理方:HackerOne
  • 报告ID:#1916400
  • 状态:已解决
  • 严重性:中等(5.3分)
  • 公开时间:2025年11月24日,UTC 22:33
  • 漏洞类型:资源分配无限制或未节流(Allocation of Resources Without Limits or Throttling)
  • CVE ID:无
  • 赏金:479美元
  • 账户详情:无
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次