从负载均衡或CDN应用中发现的配置类漏洞

本文分享的Writeup是作者在测试一些目标服务相关的负载均衡或CDN应用时发现的错误配置型漏洞，这些漏洞有些发生服务端犄角旮旯的响应消息中，可能很少会引人注意，我们一起来看看。

当针对一个Web应用测试目标进行漏洞分析时，我通常最后都会检查两件事：

1、在HTTP响应的Burp历史记录中查找一些涉及到的用户账户相关信息，如用户名、邮箱地址、手机号码等等；

2、通过Burp被动扫描收集分析HTTP响应中所有邮箱地址。

这样做的目的是为了寻找更多的攻击面，特别是针对IDOR或访问控制类型漏洞时尤为有用。然而这种习惯却逐渐成了我挖掘奇怪漏洞过程中必不可少的操作，此处我就分享一些类似漏洞安全，希望能对大家起到借鉴作用。

这个漏洞以前我从没见过，当我在分析Burp被动扫描收集的HTTP响应消息邮箱地址时，我发现其中一个并不属于我的Gmail邮箱地址，于是，我就查找这个邮箱的具体归属，之后我在其HTTP响应消息中的的某个服务端HTML脚本源码中发现了它的身影，可见这是一个包含了用户ID和邮箱的响应：

经过一番分析验证，原来是这样的，如果当前用户在没有特定的用户“Cookie”信息时，若他对目标服务端发起了请求，那么就会导致前端的负载均衡应用出现响应错乱，错把其他用户的用户个人响应到了那个JS脚本中，显示到了当前用户的响应消息中。

所以，如果当前用户把自己的所有Cookie信息删除后，对目标服务端发起请求，就会在HTTP响应中获取到其他用户包括个人邮箱在内的用户信息。而且，每次执行不同的请求，负载均衡应用就会响应给客户端不同的其他用户信息。因此，如果不停的Repeat重放请求，那么将会以此方式获取到目标网站中的大量注册用户敏感信息。如下变换请求获得其他用户的个人注册信息：

有了上个漏洞的基础，在后续的测试中我就多了一些心眼。这不，几天之后，我又在一次网站测试中发现了类似漏洞，在某个请求涉及的whitelistExternalUserEmails参数中，服务端响应回来了一个脚本文件，其中包含了17个奇怪的邮箱地址，如下：

在某次渗透测试中，我发现与第一个漏洞类似的信息泄露问题，同样是我在查找Burp被动扫描记录时发现的：

这个漏洞与第一个漏洞的不同之处在于，我无法通过它来收集获取其他用户的相关个人信息，但由于这是一个渗透测试项目，我就直接和客户方进行了交流沟通，之后，客户方经过调查给我的解释为：