一次搞笑的航空里程奖励测试(2)

Location:https://anysecondarydomain.com/Account/SSOLogOn?onlineAuthCode=U2FsdGVkX1-ezqwA-c5zRMSDSM-UjnvL80xFZDm6PhwU9ZnxB49aMy-RBji_nLui&offlineAuthCode=U2FsdGVkX1-h0SCWcm1xh1t-uPr0za6cRPxjWTNrADtmx-Ro56cX**_STOyRUT3O

可以看到，服务端会为此生成一个“onlineAuthCode”，这就是一个有效的验证信息，综合上述提到的PoC利用方式，从ssrftest.com中获得泄露的ciToken，就能形成会话劫持。但有意思的是，ciToken竟然可以复用，完全没有次数和时间限制。

对于该航空公司来说，这种会话劫持类漏洞会对在一些二级域名上绑定多个账户的受害者形成影响，比如攻击者可以把受害者账户的里程加到自己账户上，或者在一些里程换票或优惠券兑换场景中造成危害。该漏洞还可导致一些乘客个人PII信息泄露，最终被定级为了P1的高危级。

由于该漏洞发现在COVID疫情事件之前，按照该航空公司此前给出的漏洞奖励计划是，其它漏洞威胁暂且不谈，一个P1高危漏洞可以奖励一百万英里的航空里程。但是，最终它们给我的奖励是5万英里的航空里程奖励。理由是“害怕引起老板的注意”：

It would certainly raise the boss’s eyebrows to increase a payout for XSS to our High payout tier. Since this is an in-house bug bounty program we track by defect.

相反，针对同类型的漏洞，其它公司却是按照漏洞影响和危害给予奖励的：

Below is our bounty payout structure, which is based on the severity and impact of bugs.

对比来看，确实有些搞笑。最后还是建议大家做众测时，要选择那些设置有申诉调解渠道的平台，要不的话遇到问题你会欲哭无泪的。还有最好找那种目标范围大、奖励金额高、打款速度快和沟通协调良好的测试项目。