Twitter最新漏洞:黑客可遍歷賬戶刪除信用卡
責編:admin |2014-09-19 15:37:54就在本月月初,跟其他社交網絡一樣,twitter也開始了全新的漏洞獎勵計劃,獎金達到了$140+/漏洞,可以說報酬還是很豐厚的。相比于我們國內的廠商來說,我個人認為這才是一個網絡公司正確的對待安全的態度:積極應對,不逃不避,努力借助白帽子的力量使自己得到更加完備的安全防護。給twitter點個贊!
一位埃及研究員,Ahmed Mohamed Hassan Aboul-Ela(好長的名字..我們就叫他埃拉好了-_-..),早在之前,就曾為Google,Microsoft,Apple等巨頭公司提交過多個漏洞,也受到頗多獎勵。這次,他又在twitter身上斬獲新的戰功:twitter廣告服務允許刪除任意用戶的信用卡信息。
First Blood(第一枚)
最初,埃拉發現過ads.twitter.com的兩個漏洞,但是這兩個漏洞造成了相同的影響。一個漏洞存在于twitter的信用卡刪除(Delete)鏈接:https://ads.twitter.com/accounts/[account id]/payment_methods
通過點擊刪除信用卡(Delete this card),會向服務器發送一個ajax POST請求,而請求的變量就明晃晃的放在了請求鏈接當中:
Account:twitter賬戶ID
ID:信用卡ID和純數字的信用卡號
(小編:看到這里我想大家都已經很明白了,很明顯的一個平行越權漏洞啦~有點意思,我們接著看)
“我所做的其實就是改變我自己的twitter賬戶的這兩個變量,然后看一下服務器的響應,我忽然發現當我改變兩個變量時我居然刪掉了其他twitter賬戶的信息,盡管服務器沒有給我正確的響應。”埃拉這樣寫道。
(當改變兩個變量時)頁面返回的是“403 forbbiden”,但是事實上,服務器已經執行了刪除指令,信用卡已經被刪除了。(小編:這樣居然也行。。汗)
Second Blood(第二枚)
埃拉在ads.twitter.com發現了另外一個相似的漏洞,但是據埃拉說,這個漏洞的影響要比上面那個影響要大很多。下面我們看一下。
當調皮的埃拉填了一個無效的信用卡號到他的twitter賬戶時,服務器報錯了:“我們無法添加您填寫的信用卡信息”,并且彈出一個Dismiss按鈕。當點擊這個按鈕時,信用卡信息就從他的賬戶里面消失了。
“我覺得這個地方可能也存在類似上一個漏洞一樣的刪除信用卡的漏洞,然后我就又填了一個無效的信用卡賬戶,然后將數據包攔截了下來。”他說。
不同于第一個漏洞,這次并沒有賬戶變量信息,只有一個信用卡ID變量存在。他將信用卡ID變量改成受害人的ID變量然后又修改了請求數據,然后send request,受害人的信用卡就這么被刪除了。