TikTok通知绕过漏洞:向已屏蔽用户发送提醒

本文详细分析了TikTok消息系统中的一个安全漏洞,允许用户通过点赞历史消息向已屏蔽自己的用户发送推送通知,尽管该漏洞未获得赏金,但揭示了社交平台权限控制机制存在的缺陷。

TikTok通知绕过漏洞:向已屏蔽用户发送提醒

在探索TikTok的屏蔽和消息系统时,我发现了一个漏洞,允许我向已屏蔽我的用户发送通知——只需点赞历史消息即可。

漏洞发现过程

具体场景如下:

  • 用户A和用户B之前曾互发消息
  • 用户B随后屏蔽了用户A
  • 尽管已被屏蔽,用户A仍可查看历史聊天记录
  • 通过"点赞"之前的消息,用户A触发了向用户B发送的新推送通知

是的——尽管屏蔽功能已生效,TikTok仍会向屏蔽者发送通知,就好像这种互动是被允许的。

问题严重性

TikTok的屏蔽功能本应阻止进一步的互动,但这个漏洞允许通过历史消息点赞进行轻微的间接联系。

该漏洞不构成高风险(因此不符合赏金资格)。

报告时间线

  • 2021年1月21日 — 提交报告
  • 2021年1月26日 — 安全团队分类处理
  • 2021年1月26日 — 不符合赏金资格 💰
  • 2021年3月4日 — 标记为已解决 ✅

平台: TikTok
漏洞平台: Hackerone
类型: 漏洞赏金

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次