Flickr论坛分页漏洞导致高资源消耗问题分析

本文详细分析了Flickr论坛分页功能因输入验证不足导致的高资源消耗漏洞。攻击者通过提交超出实际页数的页码参数,可触发系统无限循环生成标记,造成服务器资源过度消耗。该漏洞已被修复并获得479美元赏金。

Flickr | 报告 #1916400 - 论坛分页验证不足导致高资源消耗

漏洞摘要

在某些分页页面中,如果URL中提供的页码大于可用页面数量,内部逻辑会导致无限循环,每次循环都会生成标记。通过修正逻辑,可以轻松纠正这种情况,避免生成指向不存在页面的链接。

时间线

  • 2023年3月24日 12:43 UTC - maskopatol 向Flickr提交报告
  • 2023年3月24日 22:46 UTC - pdokas(Flickr员工)将严重性从中等更新为中等(5.3)
  • 2023年3月24日 22:47 UTC - pdokas(Flickr员工)发表评论
  • 2023年3月24日 22:47 UTC - Flickr奖励maskopatol 479美元赏金
  • 2023年3月24日 22:53 UTC - pdokas(Flickr员工)将状态更改为"已分类"
  • 2023年3月24日 23:14 UTC - maskopatol 发表评论
  • 2023年11月28日 18:32 UTC - dmintonsmugmug(Flickr员工)将状态更改为"重新测试"
  • 2023年11月28日 19:01 UTC - maskopatol 完成重新测试
  • 2023年11月28日 19:06 UTC - Flickr接受重新测试结果
  • 2023年11月28日 19:06 UTC - dmintonsmugmug(Flickr员工)将状态更改为"已分类"
  • 2025年8月6日 21:12 UTC - dmintonsmugmug(Flickr员工)将状态更改为"已分类"
  • 2025年10月8日 23:51 UTC - dmintonsmugmug(Flickr员工)将状态更改为"重新测试"
  • 2025年10月9日 12:37 UTC - maskopatol 完成重新测试
  • 2025年10月9日 14:40 UTC - Flickr接受重新测试结果
  • 2025年10月9日 14:40 UTC - dmintonsmugmug(Flickr员工)关闭报告并将状态更改为"已解决"
  • 5天前 - maskopatol 请求披露此报告
  • 2天前 - pdokas(Flickr员工)同意披露此报告
  • 2天前 - 此报告已被披露

报告详情

  • 报告时间: 2023年3月24日 12:43 UTC
  • 报告人: maskopatol
  • 报告对象: Flickr
  • 报告ID: #1916400
  • 状态: 已解决
  • 严重性: 中等(5.3)
  • 披露时间: 2025年11月24日 22:33 UTC
  • 弱点: 无限制或节流的资源分配
  • CVE ID: 无
  • 赏金: 479美元
  • 账户详情: 无

看起来您的JavaScript已被禁用。要使用HackerOne,请在浏览器中启用JavaScript并刷新此页面。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次