这种“表面”一套,“背后”一套的注册机制明显是不安全和互相矛盾的,只要我们能枚举出用户ID,就会是一个漏洞问题。
Xoom的Referrer参数
那如何来枚举Xoom用户的个人信息呢?最后,我从其Referer功能中找到了突破。Referer功能本身用于大型网站中的服务优化,通常情况下,Referer链接还被应用到一些对接收者的在线广告促销活动中。如Xoom的https://www.xoom.com/xoom-refer-a-friend-program功能下,新注册用户如果首单转账超过$400美金,就会获得一张$20美金的亚马逊电子购物卡。
最终我发现,除这个Referer功能外,在Xoom的各种功能之中,Paypal都实行了不当的robot.txt配置规则,导致搜索引擎爬虫索引收录了其上的一些用户请求,攻击者因此可以通过搜索引擎来枚举出一些用户敏感信息。
复现Xoom和Paypal的信息泄露漏洞漏洞发现非常容易,只需执行一个简单的Google Dork查询,就能发现Xoom上的一些敏感用户信息。比如,去发现Xoom上注册账户的相关邮箱信息,可以用以下Google Dork语法:
· site:xoom.com inurl:’@gmail.com’
· site:xoom.com inurl:’@yahoo.com’
· site:xoom.com inurl:’@hotmail.com’
· site:xoom.com inurl:’@msn.com’
· site:xoom.com inurl:’e=’ ‘refer’
· site:xoom.com inurl:’tellapal.id’
当然,你也可以把后缀@yahoo.com更改为其它邮件服务商。如用Referer功能通过Google收集到的用户敏感信息:
此外,还可以通过Paypal的付款(Send-Money)等功能来收集用户敏感信息:
那既然Xoom可以这样,Paypal行不行呢?结合之前我们分析的Paypal转账请求参数,我们有了以下Google Dork查询语法:
· site:paypal.com inurl:’payment_type=’
· site:paypal.com inurl:intent
· site:paypal.com inurl:’sendMoneyText’
· site:paypal.com inurl:’recipient=’
· site:paypal.com inurl:currencyCode=
· site:paypal.com inurl:onboardData=
· site:paypal.com inurl:sendMoney
· site:paypal.com inurl:item_name
· site:paypal.com inurl:counterparty
利用谷歌搜索引擎,我们发现了sendMoneyText参数相关的用户敏感信息:
payerView参数相关的用户敏感信息:
以及em参数相关的用户敏感信息:
除此之外,通过搜索引擎,我们还发现了一些用户在网上的电子**:
总结