Використання неправильно налаштованих обмежень тарифів для генерації access_token для користувачів, 2017 BugBounty від Mandeep Singh

Мендіп Сінгх Капур

19 квітня 2017 · 3 хв читання

Незважаючи на те, що я мав досить великий досвід роботи в програмах винагороди за вразливість (або програмах помилок Bounty) у 2016 році, я очікував постійно нарощувати свої знання.

налаштованих

2017 рік розпочався з того, що я ділюсь сьогодні. Той, хто цікавиться InfoSec, знає такі платформи, як Hackerone & BugCrowd.

Vk.com - одна з публічних програм про хакерон, яка привернула мою увагу протягом IV кварталу 2016 року та починаючи з 2017 року. Отже, я почав працювати над їх Додатками, завантажив віртуальні машини, відригнув проксі з усіма додатками, які потрібно знати усі їх додатки та кінцеві точки api навиворіт. Потративши час на деякі низько звисаючі фрукти та звичайні помилки, не вдалося на початковому етапі у програмах vk.

My SetUp: Android на genymotion з проксі-сервером Burp, iPad Air 2 для iOS

Провівши деякий час на webApps, я перейшов до Android та iOS. Цікаво, що я помітив, що не всі кінцеві точки, які дозволяють параметри "Скинути пароль", відображаються у загальному місці.

Я маю на увазі те, що різні програми ВК [Android/iOS/мобільний домен) усі мали різні кінцеві точки для тієї ж мети. Як правило, це не стосується більшості заявок. Кінцева точка додатка Android при скиданні пароля цікаво вказує на api mail.ru, як вразливий запит нижче.

У цьому конкретному запиті відсутнє обмеження швидкості на стороні сервера, але все-таки в запиті був параметр підпису, який генерується динамічно, щоб запобігти фальсифікації запиту на всіх Api, якщо хтось досліджує всі API VK. Однак я вирішив перейти до аналізу параметра підпису .