通过优惠券打破业务逻辑-我的第一个有效Bug赏金的故事

  • A+
所属分类:安全文章

点击上方蓝字“EDI安全”安全一下

我在私有程序上的第一个有效漏洞的故事-
在本文中,我将分享:
1. 我是如何开始从事信息安全和漏洞赏金,我的挣扎和矛盾以及从中学到的。
2. 我学习一些东西之后,找到一个不同的方法
3. 然后,我将进一步讨论如何找到我的第一个有效漏洞,即挖掘漏洞。
4. 最后,我将从发现中获得一些启示或教训
我如何开始
我在2015年听说过漏洞赏金,我采访了我的一个好朋友,后来在2017年对信息安全产生了兴趣。
我从2017年开始学习有关Infosec的知识,以及有关Facebook和Google等公共程序的bug赏金的方法,但在整个学习阶段我一直“前后不一致”。因此,我最初开始在Facebook上打猎,Laxman和Phwd是我的灵感来源,从一开始他们就非常有帮助,并且我还认识了该领域中一些更出色的人
我读了几本电子书,试图发现并报告漏洞,但没有成功,事实是我开始使用的那些公共程序是最具挑战性和难度的;由于世界上大多数最佳安全研究人员/白帽黑客已经对它们进行了测试,并捕获了大多数错误。
随着时间的流逝,我的报告总是以“不适用”,“信息性”或“重复”结尾。每次回复后,我经常休息片刻。我还注意到,新手(有时甚至是专家或1337年代)也感到这种挫败感。在遇到一位代号为F007573P的朋友之前,我对有效的漏洞几乎一无所知,他一直在那里回答我有关在Web应用程序中搜寻错误的问题/不同的方法


在这一点上,我感到有必要在重新尝试困难的公共程序之前建立我的知识。Infosec社区中的一些好朋友和一些推文(对我们有所帮助)建议安全研究人员还可以尝试不在赏金平台上使用的私人程序。
哇,也许我可以在其他地方尝试一下我的小知识。因此,我决定搬出去尝试另一种方法-我想到了逻辑缺陷,这是我目前最喜欢的。我决定,我将研究挖掘业务逻辑,

直到我变得更加博学多才或技术娴熟,以寻找具有更高严重性的高级技术错误为止。
发现错误
我们假设私有程序的站点被称为REDACTED
此漏洞存在于处理优惠券的端点上,该优惠券仅供一次使用。
根据我收到的邮件,当您注册时会收到一张优惠券,目的是鼓励客户购买东西,并且优惠券会在几个小时后失效,我最初忽略了该优惠券。
2周后
我想在网站上购物,所以两周后我申请了优惠券,但优惠券仍然有效,这激发了我的好奇心,我决定进行更深入的测试。
10分钟后,我意识到我实际上可以随意使用多次优惠券。
有了这个,我就可以欺骗REDACTED付款系统,这可能会导致公司蒙受财务损失。

通过优惠券打破业务逻辑-我的第一个有效Bug赏金的故事

概念证明
要求:新帐户和新用户一次性使用的优惠券。
1.登录到REDACTED帐户
2.复制您的优惠券代码
假设优惠券代码为>> REDCOP300
3.我在单独的标签上打开了我想购买的所有商品
4.在我在每个选项卡中下订单之前,在每个选项卡上应用代码
这将降低每个选项卡上每个项目的价格。
5.在我的一项订单中,我点击“结帐”,选择“ PayPal”作为“结帐”选项,并在PayPal的站点上为该订单付款。
至此,我知道可以为其他选项卡上的其他商品下订单了(我已经在其中应用了相同的折扣),因为PayPal结帐不在REDACTED范围内,因此REDACTED网站已无法控制价格。
我报告了
团队工作人员只给—我仅在一个项目上试过,我没有完全演示是否可以使用相同的优惠券在其他选项卡上下订单,因此他们不确定付款是否会成功。
我的答复—我回答这将花我一些钱才能再次下订单,但是我接受了挑战,我继续执行步骤1-5,并使用“一次性使用”优惠券支付了其他标签中的许多物品。
影响,
例:
价值2,000美元的物品我可以获得-100美元的折扣
价值3,000美元的商品可获得-300美元的折扣
价值$ 5000的商品获得-$ 500折扣
我可以用一张优惠券统治他们
几个月后,他们回答说安全团队已经对其进行了调查,他们对我的报告表示感谢,并悬赏给我。
报告时间表:
已发送报告-2020年2月9日,
团队工作人员回应-2020年2月10日-他们怀疑该漏洞是否有效。然后,我制作了新的POC以显示全部漏洞利用。
几个星期又几个月的沟通延迟,我放弃了这份报告— 2020年3月28日
团队工作人员回应错误有效-4月26日在2020年6月提供赏金

通过优惠券打破业务逻辑-我的第一个有效Bug赏金的故事

结尾
高级部分可能有漏洞-这不能过分强调,我已经看到研究人员说了很多,这是事实。网站的免费版块通常更安全或已修复,但是当您付款并访问研究人员不常去的高级版块时,就有更多的机会在其中找到漏洞。
始终保持耐心:我想找到一个非常糟糕的有效漏洞,但我为实现这一目标付出了很多等待。我甚至发现并向一些随机的公司报告了漏洞,该公司默默地解决了他们的问题,但甚至没有回复我说谢谢,但这是另一回事了)
其次,即使您发现了一个有效的错误并报告了该漏洞,这些公司也有自己的工作方式。分类和漏洞修复会经历各种(大多数时间较长)的过程,这意味着您必须等待或在等待时执行其他操作。
始终检查端点在单独的选项卡中反应-当您在浏览器中打开多个选项卡并执行操作A时,在进一步操作另一个选项卡上的操作B之前,操作A是否会反映在其他选项卡中?还是操作B阻止了操作A执行您在其他单独的选项卡中执行的操作,或者您可以执行这些操作并摆脱它。


EDI安全

通过优惠券打破业务逻辑-我的第一个有效Bug赏金的故事

扫二维码|关注我们

一个专注渗透实战经验分享的公众号

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: