2023-09-21
#race
Summary
一个条件竞争漏洞导致可以多次领取礼品卡
Step
登录
购买商品
兑换礼品卡 ,抓包
条件竞争 ,race.py
Impact
零元购
#race
Summary
在执行重新测试时存在竞态条件。通过同时执行多个请求来确认重新测试,恶意用户可以多次获得重新测试的报酬。这使得可以从HackerOne中窃取资金,而这可能会被HackerOne和攻击者(我)都忽略。
Step
收到来自HackerOne的重新测试请求电子邮件。
拦截重新测试请求的电子邮件。在Burp Suite中右键单击请求,然后选择"Copy as curl command"(复制为curl命令)。
在命令行中执行请求,格式为(request) & (request) & ...。在测试中,我执行了该命令5次。
滚动到https://hackerone.com/settings/bounties 支付将显示在"Retest payments"(重新测试支付)部分,而且可能会多次出现。
2,500$💵
Impact
使得攻击者可以利用重新测试功能多次窃取资金
#race
Summary
存在竞争条件,其中用户可以将自己添加到组中两次,这将使他们无法从组中删除。他们自己不能将自己从组中删除,组长也不能将该用户从组中删除。当然,这是一个低的严重性,因为恶意用户首先需要有一个有效的邀请链接,但尽管如此,这会导致永久的成员资格,所以这需要在我看来是固定的。
Step
两个账号 A账号是组长 B账号是成员
A账号向B账号发送邀请链接
B账号获得邀请链接后 ,进行并发
此时获得多个组,且无法删除
Impact
不可撤换/永久成员。即使是组长也不能删除该用户。这也会影响该集团的统计数据
Last updated