当前位置:安全资讯 >> 全文

@开发:不必太自责,连 Hackerone 平台都差点因 RFC2142合规问题栽了

发布时间:2019-1-8 18:08 标签: 业务逻辑,HackerOne
分享到 0

HackerOne平台昵称为 thefrog 的内部研究员发现,由于 hackerone.com RFC2142 不合规,@wearhackerone.com 邮件转发服务易受 namespace 攻击。

RFC2142 定义了一组标准的涵盖某些角色和功能的邮件地址,比如大家可能首席的 security@ 地址。

漏洞情况

@wearehackerone.com 邮件转发系统的运行方式是,基于用户名 <your-h1-handle>@wearehackeron.com为用户的 HackerOne 账户分配地址。因此 hackerone.com/foobar 就是 foobar@wearehackerone.com。于是研究员决定枚举 FRC2142 定义的所有邮件地址,并判断可以注册哪些邮件地址,并最终导致他控制本应被保留的邮件地址。

在某些情况下,研究员发现真的可以阻止用户使用某些用户名,如 postmaster

遗憾的是,一番侦察后,研究人员发现并非所有的 RFC2142 地址都被拦截。研究人员成功地控制了 trouble@wearehackerone.com

如何修复

要修复该问题,研究员建议将如下用户名添加到排除列表中,防止他人劫持重要的邮件地址。这些用户名包括:

l  abuse

l  admin

l  administrator

l  hostmaster

l  info

l  is

l  it

l  list

l  list-request

l  majordomo

l  marketing

l  mis

l  news

l  postmaster

l  root

l  sales

l  security

l  ssl-admin

l  ssladmin

l  ssladministrator

l  sslwebmaster

l  support

l  sysadmin

l  trouble

l  usenet

l  uucp

l  webmaster

研究员于2018821日提交该漏洞,HackerOne 平台于201912日修复。该漏洞被评为中危漏洞。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://hackerone.com/reports/397792
参与讨论,请先 登录 | 注册

用户评论