漏洞分析：Google Rich Media中的多个授权绕过漏洞

在最近的一次安全测试过程中，我对Google的应用程序“Richmedia Studio”进行了安全测试，即Google的一个营销活动管理平台。在这篇文章中，我将跟大家分享我在Google Rich Media中发现的几个安全漏洞。

虽然这并不是什么安全问题，但我仍然觉得很有意思，因为从这里才是我们打开Google Rich Media攻击面的第一步。如果你的账户里面没有配置并启用该功能的话，你是没有办法看到这个功能的。其实它并不是一个“未授权”的页面，我们只是被网站重定向到其他地方了，不信你可以尝试访问一下。这一点很关键，因为一开始我都没发现过这个应用程序，即使我花了大量时间去搜索Google的系统。

如果你想访问这个系统，你需要点击【这里】去填写一个表格，如果Google授权你访问的话，你将收到一封邀请邮件，点击之后你就可以访问这个系统了。

这是什么？Richmedia studio?据我所知，，该平台主要用于管理在线广告活动，以及与广告商的关系。角色管理系统允许管理员创建新的活动并将媒体（如HTML页面、视频、图像等）上传到这些活动中。管理员可以给不同的广告客户访问活动，以及通过QA管理它（所有通过权限管理）和留下评论等等。因为我不太了解营销活动的流程，所以我不确定我对这个平台具体功能的定义是否准确。

我开始研究的是其媒体资源上传功能，我希望看到与大多数谷歌应用程序相同的机制，上传的文件存储在用户的谷歌驱动器下，并通过一个带有长随机ID的临时“googleusercontent”链接公开。但事实并非如此，在Google Rich Media中，文件会上传到一个不同的域名-“s0.2mdn.net”。样本链接如下:

将文件托管在一个单独的（非“google”）域上会引发授权问题，因为浏览器不持有该域的cookies（当然，可以通过其他方式解决授权问题），而且尝试从匿名浏览器访问示例上传文件时，确实表明不需要授权。然而，这本身并不是一个真正的问题。这种联系是复杂的，不可能可以通过暴力破解或猜解攻击来拿到资源链接。但我们先来看看这个链接，访问之后，一个“预览”按钮出现在了我们的眼前。这是存储文件的实际路径，还是仅仅指向从实际源生成的“预览”的链接？

于是乎，我又上传了另一个文件，然后仔细分析了网络请求，我发现我怀疑的是对的。在一个单独的HTTP响应中，指向该文件的直接链接（而不是它的“预览”）被返回到浏览器。这个链接看起来简单得多：

这些直接链接也可以在没有身份验证的情况下访问，并且可以由攻击者生成（前8位数字只是可以从studio应用程序枚举的商家ID，后8位数字由上载日期和短随机数组成）。

所以这里我们有一个清晰的IDOR-一个到另一个用户文件的可猜测的链接，而且没有任何身份验证。

我已经将该漏洞上报给了Google团队，并拿到了500美元漏洞奖励。

说实话，这个太简单了，我都没想到。还记得我之前提到过的一个角色管理系统吗？你可以在这里创建一个账户，而无需访问QA仪表盘。事实上，如果您创建这样一个用户，那么仪表盘看起来会不太一样。管理员仪表盘界面如下：

受限账号界面如下：

如果我试图使用受限账号访问SQ页面的话，会怎么样呢，结果着实令人惊讶：