“价值两万美元的复制粘贴错误:当HackerOne‘黑’了自己”
让我讲述一个我所研究过的最具讽刺意味的安全事件——当时,全球领先的漏洞赏金平台HackerOne,因一个简单的复制粘贴错误,意外地将自己王国的钥匙拱手相送。
我在翻阅已披露的报告时,发现了这颗2019年的“明珠”。这个故事提醒我们,无论你安全意识多强,人为失误依然可能造成灾难性的漏洞。
意外移交
想象一下:一位HackerOne安全分析师正试图复现一份漏洞报告。他们从浏览器控制台复制了一些调试信息,准备分享给研究人员。但他们犯了一个关键错误——在粘贴的文本中,意外地包含了自己的会话cookie。
研究人员haxta4ok00立即注意到了发生的情况。那里,以纯文本形式存在的,是一个有效的会话令牌,它授予了对HackerOne内部系统的完全访问权限。
发现的时刻一定非常超现实:
- 研究人员收到HackerOne员工的回复
- 注意到技术细节中有不寻常之处
- 意识到自己正在查看一个活跃的会话cookieFINISHED
CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyEX/D5C00QouXQXRg+wa12CSWzBdVB6stid+tb+4rIlMq7obJ7vnFfQmI7SNr0FfSzEhNPOjzPjdGpWsizztjEfzsX/IN9BMnWTqjM4Xwx54w==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
