這個漏洞值7650美元,原因是你可以在任意Twitter賬戶上發小片兒
在對Twitter的安全測試期間,我發現了一個漏洞,它允許黑客在任何用戶使用該服務的情況下在Twitter網路中發布條目,並且無需訪問受害者的帳戶。這個漏洞發現於2017年2月26日,並於2017年2月28日被修復。
詳細報告參考:https://hackerone.com/reports/208978。
現在來看看這個漏洞的技術細節。
twitter網路中有一項服務為:https://ads.twitter.com/,它具有可以上傳媒體文件(視頻,圖片,gif動畫)的媒體庫,也可以查看之前上傳的文件,這是在發布Twitter的時刻使用的。 它的具體鏈接如下:
https://ads.twitter.com/accounts/*id_of_your_account*/media。
當我們打開該庫,我們就會看到其上傳媒體文件的功能:
點擊「下載媒體文件」按鈕並選擇適當的文件後,我們就會看到圖片:
點擊上傳的圖片,然後我們就會看到:
我們可以推送我們的媒體文件,也能夠與任何用戶共享媒體文件。
好!所以,現在讓我們仔細看一下tweet的功能:
我們在這裡可以看到
account_id - 帳號(直接在庫中)
圖片擁有者的owner_id -id
user_id - tweet將被發布給具有此id的用戶
media_key - 要發布的媒體文件的ID(查看圖3中的地址字元串)
我們來介紹一下我所使用的符號:
帳號№1 - 我的第一個帳戶
帳號№2 - 我的第二個帳號
因為我不記得輸出錯誤的確切語句,所以我把他們暫且稱之為:「錯誤№1」,「錯誤№2」。
揭示漏洞的步驟如下:
首先,我攔截了tweet發布和更改參數的請求:GET-request中的owner_id和user_id,由POST-method發送的json從帳號№1的id到相應的id號,但是沒有收到預期的結果,而是得到了錯誤№1。
之後,我決定在POST中更改owner_id和user_id,然後我就收到了錯誤№2,其具體內容是:?User with owner_id * id which was a substitute* is not an owner of this media-file *here should be a media_key*?
再然後我做了下面的這些事情:
一件事往往會導致另一件事的發生
我們回到帳號№1:
然後,我們截取Twitter的請求,並更改GET和POST方法中的owner_id、user_id,以便在帳戶№2上傳圖片時我們可以獲取到帳戶№2的相應數據和媒體密鑰。這時我們又看到了錯誤№1。這是非常難過的...但是,儘管如此,當我們在GET和POST方法中替換owner_id和user_id時,只有一個錯誤(錯誤№1),而在POST方法中僅替換owner_id和user_id的情況還有其他錯誤(錯誤№2)。我們繼續!
在POST方法中更改請求owner_id,user_id和media_key,然後...我們就會看到響應,我想關於這一漏洞的驗證成功了!轉到帳號№2,我們可以看到已經發布了之前帳號№2上傳圖片的推文,但事實上帳號№2本身並沒有公布。
那麼也就是說,我們現在理論上有可能發布在任何用戶的賬戶中發布twitter,但實際上這一切還是有明確的限制的,這嚴重地減少了該漏洞的影響(一個漏洞的嚴重程度),限制包括:我們用來入侵進行發布的用戶必須上傳了一個媒體文件。此外,需要知道這個文件的media_key,而它幾乎不可能以暴力的方式揭示它,因為它包含18位數字。事實上,在我的整個測試過程中,我並沒有找到100%的方式來了解這個media_key,總是有一些情況會限制你來獲取media_key。那麼到這裡就結束了?真的沒有其他辦法了嗎?我是不是應該報告現在的這個情況呢?
絕對不 !我個人認為這個漏洞可能會帶來極端的嚴重性!你還記得分享上傳的媒體文件的可能性嗎?我來到一個非常有趣的想法,如果我們與用戶共享我們的媒體文件,用於從他的帳戶發布,他將被視為這個媒體文件的所有者,那麼錯誤№2就不會出現而轉發的tweet將成功發布。而這一切真的實現了!
要想完整的利用該漏洞就需要我們獲取media_key,然而我們沒有,但是在我們是這個文件的所有者的情況下,我們就可能會看到它的media_key(截屏№3)啊!
現在,情景如下:
我們上傳我們的媒體文件。
與用戶共享此文件,該用戶的帳號用於發布條目。
攔截查詢的tweet發布,只需更改POST方法的以下數據:owner_id和user_id到受害者帳戶的id twitter。
我們就會收到有關Twitter發布成功的消息。
是不是很有趣?現在我們可以安心地報告漏洞了!
點擊展開全文
※每月21000美元,你就可以得到影子經紀人組織放出的0day
※如何通過SSH隧道實現 Windows Pass the Ticket攻擊?
※看統計數據如何顛覆你的網路安全觀,2017年第一季度IT威脅及演變
※一種Bypassing Windows Attachment Manager的有趣姿勢
※安全工程師們必看:加強網路環境的9條建議
TAG:嘶吼RoarTalk |
※BTS實現另一個Twitter里程碑,是韓國唯一超過1500萬追隨者的賬戶
※Twitter在過去兩月暫停逾7000萬個賬戶 打擊虛假新聞
※賬戶近十分之一都是機器人:研究稱Instagram存在多達9500萬機器人
※Facebook:在6個月內清理超過30億個虛假賬戶
※李敏鎬個人Instagrams賬戶粉絲數量突破800萬
※社交賬戶刪到只剩9張圖 AL6 is Coming!
※1.5億 MyFitnessPal 賬戶信息遭泄露
※Twitter清理虛假賬戶直接讓CEO掉了20萬粉絲
※體重200斤,卻被ins官方評為日本最有價值的ins賬戶
※Facebook一季度關閉21.9億虛假賬戶
※阿里或收購Groupon 推特清除7000萬個賬戶
※Mt.Gox賬戶疑似轉出1.6萬個BTC及BCH
※波蘭凍結4億歐元賬戶,Bitfinex為何再次躺槍?
※爬取了7年1500萬個GitHub活躍賬戶,程序員比例最高的國家竟然是……
※糟透了!9200萬賬戶泄露!DNA檢測公司MyHeritage竟遭黑客入侵…
※PeckShield安全播報:敏感許可權被控制的EOS賬戶高達3,000多個,波及100萬EOS
※Twitter因打擊有問題賬戶損失900萬用戶;英特爾第三季度營收192億美元,凈利同比增42%
※Microsoft Launcher 4.11 Beta發布:改進家庭賬戶
※假如說你賬戶里有86400元,某人從中偷了10元,你會沮喪?
※Windows10 Microsoft賬戶