我发现了一个价值8500美元的 HackerOne 平台漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
一名白帽黑客发现了 HackerOne 平台上的一个严重漏洞,可导致用户的邮件地址遭暴露,他为此赢得8500美元的奖励金。
本月早些时候,昵称为 “msdian7” 的黑客发现HackerOne 漏洞奖励平台新推出的一个新功能引发了一个漏洞,可被用于获取任意 HackerOne 用户的邮件地址。
该功能于2月10日推出,msdian7 在第二天就发现了这个漏洞。几小时后HackerOne 修复了该漏洞并在当天向因msdian7 开展测试活动而受影响的两名用户发出通知。
HackerOne 平台指出,该漏洞是一个授权不当问题,和该平台的邀请系统有关。漏洞奖励计划管理员通过该邀请系统邀请用户参加私密计划、获取奖励金或被添加至计划内。这些邀请可发送给用户名或邮件地址,但如果用户是基于用户名收到的邀请,则发件人无法访问用户邮件地址,这样做的目的是保护隐私。该规则通过访问控制列表 (ACLs) 执行,但当 HackerOne 推出新的保护层时,该 ACL 规则未能被正确实现,因此导致用户的邮件地址遭暴露。
该漏洞可通过 HackerOne 平台的演示计划被用于实现恶意目的。
HackerOne 解释称,“HackerOne 为客户提供演示计划,使其能够体验产品也能让黑客测试我们的生产系统。如果你是演示计划中的团队成员,那么就可以演示报告界面。在报告界面中,你可邀请外部人员(任意平台用户)加入报告。通过用户名生成邀请,之后查看邀请,用户的邮件地址本可遭暴露。”
HackerOne 平台为该白帽子颁发7500美元的奖励金,而由于该漏洞是在有问题的功能被推出不到24小时的时间内被发现的,因此黑客还额外获得1000美元的奖金。HackerOne 平台在上周已发布该漏洞的详情。
这并非 HackerOne 平台首次为平台漏洞颁发巨额奖励金。去年,一名白帽黑客演示自己能够访问私密漏洞报告后,获得了2万美元的奖励金。
推荐阅读
@开发:不必太自责,连 Hackerone 平台都差点因 RFC2142合规问题栽了
原文链接
https://www.securityweek.com/hacker-earns-8500-vulnerability-hackerone-platform
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~
我发现了一个价值8500美元的 HackerOne 平台漏洞相关推荐
- linux的系统监视器图片_用Nvidia Jetson Nano 2GB和Python构建一个价值60美元的人脸识别系统...
作者|Adam Geitgey 编译|Flin 来源|medium 新的Nvidia Jetson Nano 2GB开发板(今天宣布!)是一款单板机,售价59美元,运行带有GPU加速的人工智能软件. ...
- linux的系统监视器图片_用Nvidia Jetson Nano 2GB和Python构建一个价值60美元的人脸识别系统 - 人工智能遇见磐创...
作者|Adam Geitgey 编译|Flin 来源|medium 新的Nvidia Jetson Nano 2GB开发板(今天宣布!)是一款单板机,售价59美元,运行带有GPU加速的人工智能软件. ...
- linux的系统监视器图片_用Jetson Nano构建一个价值60美元的人脸识别系统
新的Nvidia Jetson Nano 2GB开发板(今天宣布!)是一款单板机,售价59美元,运行带有GPU加速的人工智能软件. 到2020年,你可以从一台售价59美元的单板计算机中获得令人惊叹的性 ...
- 用Nvidia Jetson Nano 2GB和Python构建一个价值60美元的人脸识别系统
作者|Adam Geitgey 编译|Flin 来源|medium 新的Nvidia Jetson Nano 2GB开发板(今天宣布!)是一款单板机,售价59美元,运行带有GPU加速的人工智能软件. ...
- 我找到一个价值5.5万美元的 Facebook OAuth账户劫持漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 研究员 Amol Baikar从 Facebook OAuth 中发现了一个漏洞并获得5.5万美元的奖励金.奇安信代码卫士团队将漏洞的详 ...
- ds--8600使用手册_我如何用57行代码复制一个价值8600万美元的项目
ds--8600使用手册 by Tait Brown 泰特·布朗(Tait Brown) 我如何用57行代码复制一个价值8600万美元的项目 (How I replicated an $86 mill ...
- 领取价值100美元的XTC代币构建一个Dfinity Dapp
在每个区块链网络都有相对应的一种通证代币用于使用网络的一种计算.存储Gas费用,每个网络的Gas费用计量因二级市场通证代币的价格而异,所以随着二级市场代币价格的上涨随之上涨的也有用于支付网络行为中的G ...
- 独立开发变现周刊(第61期): 如何构建一个100万美元年收入开源SaaS的?
分享独立开发.产品变现相关内容,每周五发布. 目录 1.Tauri: Web技术开发跨平台应用框架 2.Chinese Poetry: 开源中华古诗词数据库 3.基于Next.js的订阅支付完整应用程 ...
- netty系列之:一个价值上亿的网站速度优化方案
文章目录 简介 本文的目标 支持多个图片服务 http2处理器 处理页面和图像 价值上亿的速度优化方案 总结 简介 其实软件界最赚钱的不是写代码的,写代码的只能叫马龙,高级点的叫做程序员,都是苦力活. ...
最新文章
- java hibernate configuration 获取_1 Hibernate Configuration 配置
- 轻松搞定Retrofit不同网络请求方式的请求参数配置,及常用注解使用
- sysdba 默认密码_干货分享|DM数据库密码策略和登录限制设置
- maven2学习总结(3,maven2在淘宝项目的应用)
- 去小公司了解哪些工具?
- scp和ssh如何连接指定端口的远程主机
- Python之 range()函数✅
- java什么是reference_理解java reference
- 用python语言实现反恐精英基础版-案例
- sql多表查询的总结
- python下载微信公众号文章_python下载微信公众号相关文章
- 服务器mac地址变了怎办_获取服务器的IP地址和MAC地址
- 仓储扫描管理系统服务器价格,仓储条码管理系统解决方案报告书.doc
- 分段衰减衰减系数_深度学习中的固定学习率衰减策略总结
- Pr:导出设置之编码设置
- 国内外对于GaN中Fe相关点缺陷结构的局域特性的研究进展
- 奋斗吧,程序员——第二十四章 想佳人、妆楼凝望,误几回、天际识归舟
- Arduino 飞鼠 空中鼠标 陀螺仪体感鼠标
- 值传递,地址传递,引用传递
- 应用推广应该遵循的八条黄金法则