-
-
[翻译]越权访问Uber内部聊天系统
-
发表于: 2017-10-15 19:36
-
Uber是一家提供乘车共享服务的美国科技公司,其服务遍布全球(这个貌似大家都知道)。
这篇文章是关于一个很简单、但是现在看来又非常严重的漏洞,通过这个漏洞我可以利用SAML访问Uber公司内部的聊天系统。
在搜索Uber漏洞奖励项目中提供的资产列表时,我发现了这个内部子域名:db7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6#2j5$3S2S2N6q4)9J5k6i4g2T1k6i4u0A6L8Y4c8W2M7X3&6S2L8q4)9J5k6h3y4G2L8b7`.`..(我是在cf3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0M7Y4c8Q4x3X3g2K6K9l9`.`.这个网站上使用%.uberinternal.com的通配符发现的)。
访问这个子域名,提示使用OneLogin SSO进行登录:
因为之前我已经测过一些Uber的项目了,所以我猜测这里的SSO应该是Uber员工使用的SSO,而且使用了SAML。点击登录按钮跳转到下面的网址,这也证实了我的猜测:
我想到攻击这个系统的唯一方法就是创建一个简单的SAML 声明(assertion)然后使用POST请求发送给上面的网址。在开始post之前,如果你要是不熟悉SAML SSO,建议你访问472N6%4N6%4i4K6u0W2k6h3y4G2L8X3!0E0P5h3!0X3L8h3g2U0K9r3q4F1K9i4y4E0i4K6u0W2j5$3!0E0来了解下SAML SSO流的基本知识。
现在我可以访问到Uber员工不同的聊天组,可以随便刷消息并能以任意Uber员工的名义登录到任何频道,这样就有效的绕过了他们的认证机制。
我立即把这个问题提交给Uber安全团队,他们迅也速地做了修复,对SAML签名做了验证。
漏洞处理时间线:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
