主页 > 网络知识 > 漏洞分析:Google Rich Media中的多个授权绕过漏洞

漏洞分析:Google Rich Media中的多个授权绕过漏洞

 

漏洞分析:Google Rich Media中的多个授权绕过漏洞

 

写在前面的话

在最近的一次安全测试过程中,我对Google的应用程序“Richmedia Studio”进行了安全测试,即Google的一个营销活动管理平台。在这篇文章中,我将跟大家分享我在Google Rich Media中发现的几个安全漏洞。

第一个挑战:访问系统

虽然这并不是什么安全问题,但我仍然觉得很有意思,因为从这里才是我们打开Google Rich Media攻击面的第一步。如果你的账户里面没有配置并启用该功能的话,你是没有办法看到这个功能的。其实它并不是一个“未授权”的页面,我们只是被网站重定向到其他地方了,不信你可以尝试访问一下。这一点很关键,因为一开始我都没发现过这个应用程序,即使我花了大量时间去搜索Google的系统。

如果你想访问这个系统,你需要点击【这里】去填写一个表格,如果Google授权你访问的话,你将收到一封邀请邮件,点击之后你就可以访问这个系统了。

 

漏洞分析:Google Rich Media中的多个授权绕过漏洞

 

到处看看

这是什么?Richmedia studio?据我所知,,该平台主要用于管理在线广告活动,以及与广告商的关系。角色管理系统允许管理员创建新的活动并将媒体(如HTML页面、视频、图像等)上传到这些活动中。管理员可以给不同的广告客户访问活动,以及通过QA管理它(所有通过权限管理)和留下评论等等。因为我不太了解营销活动的流程,所以我不确定我对这个平台具体功能的定义是否准确。

第一个漏洞:访问其他用户的媒体资源(500美金漏洞奖励)

我开始研究的是其媒体资源上传功能,我希望看到与大多数谷歌应用程序相同的机制,上传的文件存储在用户的谷歌驱动器下,并通过一个带有长随机ID的临时“googleusercontent”链接公开。但事实并非如此,在Google Rich Media中,文件会上传到一个不同的域名-“s0.2mdn.net”。样本链接如下:

https://s0.2mdn.net/preview/CgkIARCom4rX5i4SGQCkoPPIITT873VA4lA-bButtVLChPwsXnU/ads/richmedia/studio/60019864/60019864_20201004010909357_xsspng.png

将文件托管在一个单独的(非“google”)域上会引发授权问题,因为浏览器不持有该域的cookies(当然,可以通过其他方式解决授权问题),而且尝试从匿名浏览器访问示例上传文件时,确实表明不需要授权。然而,这本身并不是一个真正的问题。这种联系是复杂的,不可能可以通过暴力破解或猜解攻击来拿到资源链接。但我们先来看看这个链接,访问之后,一个“预览”按钮出现在了我们的眼前。这是存储文件的实际路径,还是仅仅指向从实际源生成的“预览”的链接?

于是乎,我又上传了另一个文件,然后仔细分析了网络请求,我发现我怀疑的是对的。在一个单独的HTTP响应中,指向该文件的直接链接(而不是它的“预览”)被返回到浏览器。这个链接看起来简单得多:

这些直接链接也可以在没有身份验证的情况下访问,并且可以由攻击者生成(前8位数字只是可以从studio应用程序枚举的商家ID,后8位数字由上载日期和短随机数组成)。

所以这里我们有一个清晰的IDOR-一个到另一个用户文件的可猜测的链接,而且没有任何身份验证。

我已经将该漏洞上报给了Google团队,并拿到了500美元漏洞奖励。

第二个漏洞:访问其他用户的活动(5000美元漏洞奖励)

说实话,这个太简单了,我都没想到。还记得我之前提到过的一个角色管理系统吗?你可以在这里创建一个账户,而无需访问QA仪表盘。事实上,如果您创建这样一个用户,那么仪表盘看起来会不太一样。管理员仪表盘界面如下:

 

漏洞分析:Google Rich Media中的多个授权绕过漏洞

 

受限账号界面如下:

 

漏洞分析:Google Rich Media中的多个授权绕过漏洞

 

如果我试图使用受限账号访问SQ页面的话,会怎么样呢,结果着实令人惊讶:

提取码请登录后查看!
  • 全部评论(0
    还没有评论,快来抢沙发吧!