@开发:不必太自责,连 Hackerone 平台都差点因 RFC2142合规问题栽了
编译:360代码卫士团队
HackerOne平台昵称为 thefrog 的内部研究员发现,由于 hackerone.com 的 RFC2142 不合规,@wearhackerone.com 邮件转发服务易受 namespace 攻击。
RFC2142 定义了一组标准的涵盖某些角色和功能的邮件地址,比如大家可能首席的 security@ 地址。
漏洞情况
@wearehackerone.com 邮件转发系统的运行方式是,基于用户名 <your-h1-handle>@wearehackeron.com为用户的 HackerOne 账户分配地址。因此 hackerone.com/foobar 就是 foobar@wearehackerone.com。于是研究员决定枚举 FRC2142 定义的所有邮件地址,并判断可以注册哪些邮件地址,并最终导致他控制本应被保留的邮件地址。
在某些情况下,研究员发现真的可以阻止用户使用某些用户名,如 postmaster。
遗憾的是,一番侦察后,研究人员发现并非所有的 RFC2142 地址都被拦截。研究人员成功地控制了 trouble@wearehackerone.com。
如何修复
要修复该问题,研究员建议将如下用户名添加到排除列表中,防止他人劫持重要的邮件地址。这些用户名包括:
abuse
admin
administrator
hostmaster
info
is
it
list
list-request
majordomo
marketing
mis
news
postmaster
root
sales
security
ssl-admin
ssladmin
ssladministrator
sslwebmaster
support
sysadmin
trouble
usenet
uucp
webmaster
研究员于2018年8月21日提交该漏洞,HackerOne 平台于2019年1月2日修复。该漏洞被评为中危漏洞。
推荐阅读
原文链接
https://hackerone.com/reports/397792
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。