💣 Google Drive授权绕过漏洞:仅查看权限的文件夹共享如何泄露Google表单响应数据(5000美元漏洞赏金)
作者:Aditya Sunny | 分类:漏洞赏金 | Google VRP | 授权绕过
🔍 内容提要
一个简单的Google Drive文件夹共享配置错误导致了严重的授权绕过漏洞:任何拥有"仅查看"权限的用户都可以下载私密的Google表单响应数据。安全研究员Andrew Sirkin负责任地披露该漏洞后,获得了Google漏洞奖励计划(VRP)5000美元的奖金。
🧩 漏洞原理
当用户在共享的Google Drive文件夹中创建Google表单时,表单响应(CSV)会与表单一起存储在内部。即使用户仅被授予文件夹的查看权限,仍可以:
- 将整个文件夹下载为zip压缩包
- 解压后发现包含表单响应的第二个zip文件
- 提取包含完整表单提交数据的CSV文件
这实质上允许未授权访问本不应共享的私有数据。
🧪 复现步骤(PoC)
该漏洞可通过以下步骤完全复现:
- 在Google Drive创建文件夹
- 在该文件夹内:
- 创建Google表单
- 创建Google文档(仅用于演示)
- 向表单提交测试数据
- 将文件夹链接共享给他人(使用"查看者"权限)
- 接收方操作:
- 从文件夹选项点击"全部下载"
- 这将下载包含所有文件的.zip压缩包
- 在该压缩包内会发现第二个zip文件:yourformname.zip
- 解压后即可获取表单响应的CSV文件
🔁 测试数据示例
您可以使用这个公开的Google Drive文件夹自行测试该行为。
⚠️ 实际攻击场景
该漏洞在以下场景具有严重影响:
- 教育机构:教师共享反馈表或测验表可能无意中泄露学生数据
- 人力资源招聘:包含简历、电话号码和私人回复的申请表可能通过共享链接被轻易访问
- 初创企业和大型企业:内部调查或投票可能被非目标接收者下载
想象一个场景:您仅希望协作者查看表单,但他们却下载了包含以下内容的敏感响应:
- 电子邮件地址
- 员工反馈
- 客户投诉
- 安全问题报告 而所有这些都未经明确授权。
� 漏洞成因
该漏洞源于Google Drive处理共享文件夹和批量下载的方式:
- Google Drive假设共享文件夹中的所有内容都可供下载
- Google表单自动将响应存储在关联的.csv文件中
- 这些.csv响应文件不会在Drive界面显示,但会被包含在"全部下载"中 这种访问控制执行的缺失通过zip打包造成了权限提升——一个经典但危险的缺陷。
💰 Google的响应与奖励
提交至Google漏洞奖励计划(VRP)后:
- 问题被确认并分类
- 标记为安全配置错误/授权绕过
- 向报告者发放5000美元奖金 这完美展示了看似微小的漏洞如何产生重大安全后果。
🔒 经验教训
✅ 对Google(及类似平台)的建议:
- 切勿假设对文件夹的查看权限等同于同意查看内部自动生成的文件
- 除非明确授予访问权限,否则应排除表单响应文件的下载
✅ 对用户的建议:
- 避免将表单和敏感数据存储在共享文件夹中,即使使用"仅查看"链接
- 当涉及隐私时,使用单独文件共享而非文件夹级共享
- 仔细检查"全部下载"选项包含的内容
🛡️ 对漏洞赏金猎人的启示
该漏洞为安全研究人员提供了宝贵经验:
- 关注UI之外的内容——用户所见未必是服务器发送的全部
- 像攻击者一样思考——当用户下载、压缩、导出或批量交互时会发生什么?
- 测试自动生成的内容——如Google表单、文档或表格等服务常创建可能泄露数据的后台文件
- 重新审视基础产品——即使如Google Drive这样值得信赖的平台,仍存在显而易见的边缘案例和安全漏洞
🎯 最终结论
这个授权绕过漏洞因其简洁性而显得精妙——无需复杂载荷、令牌劫持或高级利用技术,仅一个zip文件就暴露了本应保密的内容。 然而其影响可能非常巨大。 最好的漏洞往往隐藏于平凡之处。数十亿用户日常使用的Google Drive+表单系统,此案例深刻提醒我们:便利性永远不应凌驾于访问控制之上。
向发现者Andrew Sirkin致敬——也为Google负责任的处置点赞。