如何获得$13k赏金 看这篇SSO绕过就够了

Glory

为荣耀而奋斗

OLYMPIC GAMES

0x01 引言

单点登录(SingleSignOn，SSO)，就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限，同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗，辅助了用户管理。

然而，通过研究和测试，发现了某世界500强企业SSO绕过校验的方法，并因此挖掘到多个漏洞获得$13K赏金奖励。在本文中，我们将讨论这些漏洞的实质、所取得的结果以及对网络安全的影响。

0x02 客户端SSO绕过

某深夜，通过FUZZ资产和相关API接口，发现了很多新的资产，API接口也都需要鉴权，通过某资产跳转的SSO系统，引起了我的注意⚠️

当我在登录框尝试请求登录进行抓包，发现每次登录都有一个Sign，通过浏览访问SSO产生的数据包，也发现其中会有自动请求API接口，不需要认证可以返回数据。

那么我思考，是不是可以直接用这个json去请求其他资产的API接口呢？通过Hae(https://github.com/gh0stkey/HaE)将以前所有能访问h5页面的资产，所触发的js，使用Hae进行API接口提取，并用该json去批量请求所有的业务API接口，

Amazing!所有的业务API接口竟然返回了对应的数据

通过上述发现使用客户端Sign是可以绕过SSO限制，那么我通过以前收集的各个资产的业务API接口去获得一些敏感数据，从而发现更多的问题

比如通过js某接口获得登录账号，然后再去爆破密码登录系统，或根据构造发现RCE，SSRF，SQL注入，XSS，逻辑漏洞等等～

通过这一发现和以前资产的积累使的我在当月冲上了Bugrowd P1&P2第4名的成绩

0x03 报告漏洞并获得赏金

作为负责任的研究人员，我们将这些漏洞详细报告给了相关厂商，并等待其确认和修复。在这个过程中，我们遵守了合规的道德准则。根据厂商的赏金计划，我们获得了总计13000美元的赏金，这是对我们漏洞挖掘和报告工作的认可和回报。