查看原文
其他

@开发:不必太自责,连 Hackerone 平台都差点因 RFC2142合规问题栽了

thefrog 代码卫士 2022-04-06

  聚焦源代码安全,网罗国内外最新资讯!

编译:360代码卫士团队

HackerOne平台昵称为 thefrog 的内部研究员发现,由于 hackerone.com RFC2142 不合规,@wearhackerone.com 邮件转发服务易受 namespace 攻击。

RFC2142 定义了一组标准的涵盖某些角色和功能的邮件地址,比如大家可能首席的 security@ 地址。

漏洞情况

@wearehackerone.com 邮件转发系统的运行方式是,基于用户名 <your-h1-handle>@wearehackeron.com为用户的 HackerOne 账户分配地址。因此 hackerone.com/foobar 就是 foobar@wearehackerone.com。于是研究员决定枚举 FRC2142 定义的所有邮件地址,并判断可以注册哪些邮件地址,并最终导致他控制本应被保留的邮件地址。

在某些情况下,研究员发现真的可以阻止用户使用某些用户名,如 postmaster。

遗憾的是,一番侦察后,研究人员发现并非所有的 RFC2142 地址都被拦截。研究人员成功地控制了 trouble@wearehackerone.com。

如何修复

要修复该问题,研究员建议将如下用户名添加到排除列表中,防止他人劫持重要的邮件地址。这些用户名包括:

  • abuse

  • admin

  • administrator

  • hostmaster

  • info

  • is

  • it

  • list

  • list-request

  • majordomo

  • marketing

  • mis

  • news

  • postmaster

  • root

  • sales

  • security

  • ssl-admin

  • ssladmin

  • ssladministrator

  • sslwebmaster

  • support

  • sysadmin

  • trouble

  • usenet

  • uucp

  • webmaster

研究员于2018年8月21日提交该漏洞,HackerOne 平台于2019年1月2日修复。该漏洞被评为中危漏洞。


推荐阅读

HackerOne为开源项目提供免费服务



原文链接

https://hackerone.com/reports/397792



本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存