G Suite Hangouts Chat IDOR漏洞分析:如何操控他人聊天室Webhook

本文详细分析了Google Hangouts Chat中发现的IDOR漏洞,攻击者可通过篡改请求参数未经授权删除、编辑或添加任意聊天室的机器人Webhook,实现消息发送等恶意操作。

G Suite Hangouts Chat 5k IDOR漏洞分析

背景介绍

2018年3月,当Google Chat在Twitter上成为热门话题时,我意识到这是一个新推出的团队协作聊天产品,专门面向G Suite客户。作为一名漏洞猎人,新产品的推出总是意味着新的测试机会。

漏洞发现过程

在访问chat.google.com后,我首先测试了XSS漏洞但未果。随后启动Burp Suite开始分析所有网络请求。

在聊天室功能中,我发现用户可以添加、删除和编辑机器人的Webhook。这些Webhook允许连接到聊天室的机器人发送消息,或在用户@机器人时读取消息。

关键请求分析

删除Webhook时的请求示例:

1
2
3
4
5

POST /_/DynamiteWebUi/mutate?ds.extension=115617448&f.sid=-8125538407103612547&hl=en&soc-app=534&soc-platform=1&soc-device=1&_reqid=10551185&rt=c HTTP/1.1
Host: chat.google.com
[...其他头部信息...]

f.req=%5B%22af.maf%22%2C%5B%5B%22af.add%22%2C115617448%2C%5B%7B%22115617448%22%3A%5B%5B%22space%2FAAAAbkEmhbA%22%2C%22AAAAbkEmhbA%22%2C2%5D%2C%22test3322xx%22%5D%7D%5D%5D%5D%5D&

在f.req参数中,可以识别出两种关键ID:

  • 115617448 - 机器人Webhook的ID
  • AAAAbkEmhbA - 聊天室的ID

漏洞利用

通过简单地交换这些ID,攻击者可以:

  • 删除其他用户的机器人Webhook
  • 编辑现有Webhook配置
  • 向任意聊天室添加自己的机器人Webhook
  • 通过Webhook发送消息

整个Webhook功能区域未能正确验证用户的操作权限,导致了IDOR漏洞的存在。

结论

这个漏洞展示了即使是在Google这样的科技巨头产品中,授权检查的缺失也可能导致严重的安全问题。通过简单的参数篡改,攻击者就能操控他人聊天室的机器人功能。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次