当前位置: 首页 > news >正文

HackerOne漏洞报告:AddTagToAssets操作中的IDOR漏洞分析

IDOR漏洞报告:AddTagToAssets操作名称

漏洞概述

不安全直接对象引用(IDOR)发生在应用程序暴露对内部实现对象的引用时。这种方式会泄露存储后端使用的真实标识符和格式/模式。最常见的例子(但不限于此)是存储系统(数据库、文件系统等)中的记录标识符。

IDOR本身不会直接带来安全问题,因为它仅暴露对象标识符的格式/模式。但根据具体的格式/模式,攻击者可能利用其发起枚举攻击,尝试访问相关对象。

漏洞端点

https://hackerone.com/graphql

复现步骤

  1. 创建两个H1账户(攻击者和受害者),分别创建范围资产
  2. 受害者创建新的自定义标签
  3. 将标签分配给攻击者的范围资产,捕获请求
  4. 获得包含operationName: AddTagToAssets的请求,其中tagId参数包含base64密文
  5. 解码后格式为:gid://hackerone/AsmTag/4979xxxx
  6. 暴力破解AsmTagId并替换tagId参数
  7. 将获得200 OK响应状态,包含错误信息:
{"data":null,"errors":[{"message":"AsmTag does not exist","locations":[{"line":2,"column":3}],"path":["addTagToAssets"],"type":"NOT_FOUND"}]}
  1. 通过查看资产页面,仍可成功泄露受害者的自定义标签,无需受害者任何交互

修复建议

IDOR意味着在查询中直接使用用户提交的数据修改数据库对象,而没有检查或验证该数据。应首先检查提交请求的用户是否篡改数据,以及是否提交了不属于其账户的任何ID。

影响

导致在无需受害者任何交互的情况下泄露受害者所有新的自定义标签。

时间线

  • 2024年7月31日:漏洞提交
  • 2024年11月26日:发放赏金并请求复测
  • 2024年12月16日:确认修复并支付$175复测奖励
  • 2025年6月8日:漏洞报告公开

技术细节

漏洞证明视频文件详见附件。平台最终确认并修复了该漏洞,复测确认漏洞已无法复现。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码

http://www.wuyegushi.com/news/297.html

相关文章:

  • 2025.7 广大附中集训游记
  • Cursor 远程主机无法下载 Python 插件解决
  • Cursor 远程 SSH 主机无法下载插件解决
  • 图灵奖和诺贝尔奖双料得主、AI教父Hinton教授国内首次演讲PPT全文实录
  • Chiplet封装技术全面介绍
  • HTTP响应处理的灵活设计(3844)
  • Hyperlane框架的高级特性深度解析:从零拷贝到宏系统的完美融合(8758)
  • 跨平台Web服务开发的新选择(3436)
  • 实时通信技术深度对比:WebSocket与SSE的最佳实践(8145)
  • 高并发处理的Rust实现方案(3116)
  • 现代Web服务器性能革命:我的Rust框架探索之旅(1806)
  • 内存使用效率的终极对决:零拷贝技术的实战应用(6686)
  • 从零开始构建高性能实时聊天系统:Hyperlane框架实战指南(1600)
  • 延迟优化的极致追求:毫秒级响应的秘密(6608)
  • 轻量级服务器架构的极致优化(1595)
  • 2025年7月26日,6位书记校长同台!AI大会交大主场,超多成果重磅发布→
  • 设计系统中的本地化集成:Figma变量与设计令牌实战
  • 推荐6本书《MLIR编译器原理与实践》、《ONNX人工智能技术与开发实践》、《AI芯片开发核心技术详解》、《智能汽车传感器:原理设计应用》、《TVM编译器原理与实践》、《LLVM编译器原理与实践》
  • K8S常见的微服务中间件部署之Spark
  • 推荐 6 款基于 .NET 开源的串口调试工具,调试效率提升利器!
  • Windows下使用批处理随机播放文件
  • 【OpenGL】Triangle、VBO、VAO
  • ,
  • 更新日志
  • 板子
  • 2025.07.26 学习
  • SumatraPDF-pdf阅读器
  • 数据仓库、数据湖、湖仓一体,别再傻傻分不清了 - 智慧园区
  • xx
  • 2025 暑假多校(更新中)