官网：http://securitytech.cc/

今天，我将与大家分享我最近在 hackerone 上的一个私人程序中发现的我认为是误报的发现。

问题：

我找一个私人项目已经有一段时间了。回报不错，范围也不错，而且我已经在那里提交了几份有效的报告。

有一天，我像往常一样检查一些端点，发现了一些漏洞，例如XSS和IDOR。在搜索过程中，我发现了一个处理表创建的函数，并注意到同一个端点有两个版本：一个较新版本和一个较旧版本。这引起了我的注意。

我尝试了新版本中的一些错误，但一无所获……

之后我浏览了旧版本并尝试了 XSS、IDOR、权限提升等。

之前我创建了两个帐户，一个是管理员帐户，另一个是同一组织/实例中的常规帐户

🚩 第一次尝试

我以管理员身份登录并创建了一个表。

以普通帐户登录并尝试在没有任何权限的情况下访问表，但失败了。

返回管理员帐户并为普通用户分配“ read_only”权限。

再次以“read_only”用户身份登录，并尝试访问管理员创建的表。现在，“read_only”用户可以访问该表。但他无权更改表中的任何内容，也无法创建表，只能查看由获得许可的用户或管理员创建的表。

于是，我以低权限用户身份发起了一个 API 请求来创建表。结果！请求返回了200 Ok响应，我以为发现了一个新的漏洞。

但是当我刷新管理员和“只读”用户的UI页面时，什么也没发现。我刷新了页面差不多5-6次，但什么也没发现，我以为这可能是误报（每个黑客的常规做法）……

我的反应是……

之后，我去外面喝咖啡。

🚩 第二次尝试

稍事休息后，我回到工作地点，开始考虑用同一个端点再试一次。

现在我回到同一个端点，并尝试通过低权限用户的 API 请求创建一个表，结果还是一样……（得到 200ok 响应，刷新了 UI，没有找到任何内容）

我再次发送了相同的请求，这次的响应是 403 禁止。

我很好奇发生了什么事，我当时想......

但是当我刷新 UI 页面时我什么也没发现:)

然后我想到为什么不再次从直接 UI 创建表格:)

我一边思考，一边进入“管理员”的 UI 页面，并尝试直接从 UI 创建一个表。

🚩 最后的尝试

当我尝试创建表时，出现了一个弹出窗口，提示“无法创建表，因为另一个操作正在运行”

然后我的反应是……

为了消除我的困惑，我过了一段时间又做了同样的事情。得到的答复也一样。

之后我等了一会儿，回到了同一个终端。我看到表已经创建好了，而且表的所有者是“view_only”用户

我立即制作了一个视频 PoC 并撰写了一份关于该程序的报告，几天后，程序分类人员对我的报告进行了分类并授予我 $$$$ 赏金。

💡 实现

第一个 API 请求实际上在后台触发了表的创建，尽管我没有立即在 UI 上看到任何结果。它被排队了。延迟的反馈使操作看起来像是失败了，但实际上，它默默地成功了。

🔚 最后的想法

漏洞赏金狩猎并不总是与高危远程代码执行（RCE）或炫酷的漏洞利用有关。有时，它需要密切关注细微的不一致之处，相信自己的直觉，并在发现问题时坚持不懈。

感谢阅读！
如果你也在探索漏洞赏金计划，或者刚刚开始，请保持好奇心，持续测试，不要低估再次尝试的力量。

• 公众号:安全狗的自我修养

• vx:2207344074

• http://gitee.com/haidragon

• http://github.com/haidragon

• bilibili:haidragonx

原文始发于微信公众号（安全狗的自我修养）：从“可能是误报”到 $$$$ 赏金：我如何利用一个被忽视的 API