漏洞分析：Google Rich Media中的多个授权绕过漏洞(2)

我不仅可以访问与我的用户相关的活动的QA页面，还可以看到所有活动，所有帐户！

我已经将该漏洞上报给了Google团队，并拿到了5000美元漏洞奖励。

Google Rich Media使用了GWT来处理其API请求。我在Google系统中发现的第一个问题就是GWT的授权问题。当我再次研究文件上传过程时，我将注意力放在了GWT请求上。我查看了检索文件下载URL的HTTP请求（与我们之前看到的长而复杂的链接相同），并注意到一些奇怪的字符串会被作为HTTP POST正文的一部分发送：

仔细研究，你就会发现它很容易破解。最后的两个字符串“DlQXE”和“DlQWU”引起了我的注意—它们似乎是表示我实际要访问的文件的字符串。在系统中，很明显这些字符串实际上是表示系统中特定活动的ID。

没错，-我作为一个不同的用户登录并获得了另一对ID。然后我尝试在第一个用户的cookies中使用这个ID，并且能够获得第二个用户文件的URL链接。我运行了一个脚本来猜测相似的ID，并很快找到了更多有效的ID，即指向更多属于其他用户的文件。

我已经将该漏洞上报给了Google团队，又拿到了500美元漏洞奖励。

我现在已经非常兴奋了，而且我仍然在围绕该系统的授权机制进行研究，感觉它应该是“漏洞百出”的。果然，我又发现了一个问题：

Google的团队似乎也同意我的观点，也许Google Rich Media的授权机制确实应该好好调整调整了。

研究几天之后，我脑子里想的已经不是授权的问题了，而实最初的目标应用程序发现。我之前肯定见到过https://www.google.com/doubleclick/studio/这个链接，但由于我没有权限的系统，我只是不知道它的存在。还有多少这样的应用在暗中潜伏？确实有些值得思考的东西；）