TikTok翻译API漏洞:私有账户视频描述未授权访问风险分析

本文详细分析了TikTok翻译API端点存在的安全漏洞,该漏洞允许未授权访问私有账户中的视频描述信息,涉及IDOR(不安全的直接对象引用)漏洞原理和修复时间线,涵盖了从漏洞发现到修复的完整过程。

未授权访问私有视频描述通过TikTok翻译API漏洞

漏洞概述

在TikTok翻译API端点中发现了一个安全漏洞,该漏洞可能导致未授权访问私有账户中包含的视频描述信息。

时间线

  • 2025年1月4日 4:55 UTC:z3phyrus向TikTok提交漏洞报告
  • 2025年1月13日:状态变更为"需要更多信息"
  • 2025年1月14日:严重性从低(3.1)更新为低(3.7)
  • 2025年1月23日:状态变更为"已分类"
  • 2025年1月24日:TikTok向z3phyrus发放赏金
  • 2025年4月24日:报告关闭,状态变为"已解决"
  • 2025年6月27日:报告被同意披露并锁定

技术详情

漏洞类型:不安全的直接对象引用(IDOR) 严重等级:低(3.7) CVE ID:无 赏金状态:隐藏

参与方

  • 报告者:z3phyrus(ID已验证)
  • 处理团队:HackerOne分析团队、TikTok安全团队

处理结果

该漏洞已被TikTok安全团队成功修复,报告者获得了相应的漏洞赏金奖励。报告于2025年6月27日正式披露,目前报告已被锁定。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次