2023-09-21
Last updated
Last updated
#race
一个条件竞争漏洞导致可以多次领取礼品卡
登录
购买商品
兑换礼品卡 ,抓包
条件竞争 ,race.py
零元购
#race
在执行重新测试时存在竞态条件。通过同时执行多个请求来确认重新测试,恶意用户可以多次获得重新测试的报酬。这使得可以从HackerOne中窃取资金,而这可能会被HackerOne和攻击者(我)都忽略。
收到来自HackerOne的重新测试请求电子邮件。
拦截重新测试请求的电子邮件。在Burp Suite中右键单击请求,然后选择"Copy as curl command"(复制为curl命令)。
在命令行中执行请求,格式为(request) & (request) & ...。在测试中,我执行了该命令5次。
滚动到https://hackerone.com/settings/bounties 支付将显示在"Retest payments"(重新测试支付)部分,而且可能会多次出现。
2,500$💵
使得攻击者可以利用重新测试功能多次窃取资金
#race
存在竞争条件,其中用户可以将自己添加到组中两次,这将使他们无法从组中删除。他们自己不能将自己从组中删除,组长也不能将该用户从组中删除。当然,这是一个低的严重性,因为恶意用户首先需要有一个有效的邀请链接,但尽管如此,这会导致永久的成员资格,所以这需要在我看来是固定的。
两个账号 A账号是组长 B账号是成员
A账号向B账号发送邀请链接
B账号获得邀请链接后 ,进行并发
此时获得多个组,且无法删除
不可撤换/永久成员。即使是组长也不能删除该用户。这也会影响该集团的统计数据
等待几周。如果成功,将收到来自HackerOne的回调通知(在此情况下来自@michiel):
