前言
该目标程序是一家提供浏览器服务的公司,其核心功能是网页抓取和多账户登录操作,类似于浏览器中的隐身模式,但更加强大和高效。通过该平台,用户可以轻松管理并同时运行数百个隐身浏览器实例,而不需要复杂的配置。
值得注意的是,该应用仅提供付费订阅计划。个人用户的订阅费用约为 80 美元,而团队计划(支持最多 3 个用户)的费用为 170 美元。随着团队成员的增加,价格也随之上涨,每增加一位用户需额外支付 32 美元。此外,若用户未订阅基础计划,将无法访问 90% 的核心功能。
经过深入分析,我发现了 4 个关键的业务逻辑漏洞,这些漏洞直接影响了公司的财务体系,并可能造成严重的经济损失。
逻辑漏洞1
正如我之前提到的,团队计划中最多只能邀请 3 名成员,每名成员的费用为 32 美元。
正常的购买流程是:
1、输入成员的详细信息并单击发送邀请。
2、被邀请的成员会收到一个邀请链接,点击该链接后即可接受邀请并加入团队。
3、当成员使用邀请链接并接受后,系统将添加该成员至团队,总成员数限制为 3 名。
接下来我是这样做的:
1、输入会员详细信息并发送邀请链接给被邀请的成员。
2、被邀请的成员不要点击该链接。
3、输入会员详细信息并发送邀请链接给另一个被邀请的成员。
4、重复此过程10次。
此时,由于没有人接收我的邀请,我的实际成员数为0,但是现在我让用户都访问刚才的邀请链接,最后我邀请了六名用户,但实际上我只支付了3名用户的费用:
我甚至可以一次添加 100 名成员,导致公司损失 320 美元。
奖励:500美元。
逻辑漏洞2
没有订阅计划的用户是没有权限邀请别人的,但此处存在越权。
1、使用已订阅计划的账号,邀请新用户,拦截请求包
2、将Cookie更改为没有订阅计划的用户cookie,再更改工作区ID。
3、发送请求并成功,另一个用户已被邀请,说明此处存在权限配置不当问题。
奖励:500美元
逻辑漏洞3
订阅计划中,只能创建特定数量的浏览器配置文件。例如,单一计划只能创建最多 300 个浏览器配置文件,但此处存在条件竞争。
1、首先,我创建了 298 个浏览器配置文件。
2、然后,我尝试创建一个新的配置文件,并在 Burp Suite 中捕获了相关请求。
3、将捕获的请求发送到 Turbo Intruder 扩展程序,增加线程数,开始攻击。
4、攻击结束时,我发现浏览器配置文件总数达到了 306 个。这表明竞争条件攻击成功绕过了系统的限制。
奖励:500美元
逻辑漏洞4
当邀请用户时,我们可以给它配置三种角色:用户、管理员和创建者。其中,“用户”角色被限制不能查看某些详细信息,例如工作区中的成员信息、他们的角色、受邀成员、余额以及所用的计划。然而此处存在越权。
1、首先,邀请一个具有“用户”角色权限的成员。
2、获取”用户“角色面板中没有的API接口(通过管理员、创建者账户)
https://api.target.com/workspace/restrictionshttps://api.target.com/workspace/users?limit=100&offset=0https://api.target.com/workspace/invitations?limit=1000&offset=0https://api.target.com/workspace/user_balance
3、使用”用户“角色的cookie访问这些API接口
4、得到敏感信息,故此处存在越权:
奖励:500美元。
其它
我发现了源 IP 泄露,从而绕过了他们的 Cloud Flare 防火墙。通过利用这个漏洞,我不仅能够访问那些通过域名无法访问的端点,例如www.a.com/api/a不能访问,但112.xx.xx/api/a就能够访问;同时还能够实现一些额外操作。
奖励:300美元。
原文出处:
https://infosecwriteups.com/1-program-4-business-logic-bugs-and-cashing-in-2300-299b42236993
SRC漏洞挖掘培训
往期漏洞分享
Collabora在线存储型XSS(CVE-2024-29182)+代码审计
CVSS 10信息披露+图片元数据不适当处理+大小写绕过速率限制
玲珑安全交流群
玲珑安全B站免费公开课
https://space.bilibili.com/602205041
原文始发于微信公众号(芳华绝代安全团队):2300$:分享4个高危业务逻辑漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论