挖洞经验 | 看我如何反复获取到HackerOne的漏洞测试邀请

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

挖洞经验 | 看我如何反复获取到HackerOne的漏洞测试邀请

clouds 2018-11-28 13:00:56 638886

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

今天我要分享的是，利用HackerOne平台的漏洞报告邮件转发（Security@email forwarding）和项目退出功能（Leave Program），无需与厂商的任何用户交互行为，即可实现反复对HackerOne平台私密项目邀请消息的获取。这是一个逻辑功能Bug，HackerOne的测试邀请获取设计存在缺陷。

漏洞报告邮件转发功能（Security@email Forwarding）

这个漏洞报告邮件转发功能（Security@email Forwarding），需要厂商和HackerOne协商开通，并不是所有厂商的测试项目都会有这个功能，其原理是这样的，如果白帽子们在HackerOne上发现和某家厂商相关的漏洞，他可能会选择向HackerOne提供的相应厂商的安全团队邮箱security@companyname.com报告漏洞。与此同时，当白帽通过HackerOne平台报告了该漏洞之后，白帽子自己的 Inbox 里也会转发留存一份报告作为存档。

email-forwarding-1-8d1b34ce232c12a9f558618e797f10da-c5529.jpg 在测试厂商收到报告之后，HackerOne系统会自动向白帽子的 Inbox 中发送一封私密测试邀请，以邀请白帽参加其组织的私密漏洞测试项目，以进一步提交漏洞。如下所示：

项目退出功能（Leave Program）

项目退出功能，简单地说就是在HackerOne平台中，白帽子们在加入某个漏洞测试项目之后，如果发现这个项目的测试范围或领域并不是你感兴趣或擅长的，那么，可以选择点击 “Leave Program”来退出该项目。在测试项目的主页（Security Page）中，可以找到“Leave Program”按钮。

leaving-programs-1-a33d17157e4c9ecef34623e4eb558e4e-946ca.png 而在这个功能中，如果你选择退出了某个邀请项目，HackerOne会让你完成一份关于项目退出功能的调查表，之后，作为回报，系统还会在24小时之内继续向你发送另一个测试项目的邀请。如下：

You helped out us by filling out a survey，in return you will be fast-tracked for invites, with the first one arriving in the next 24 hours.（感谢你为我们完成了调查问卷，作为回报，我们会把你加入快速邀请行列，你将在24小时内收到一个邀请）

那么，在这种设计逻辑下，能否存在一种可利用的空子呢？可以让 HackerOne 自动不断地向我发送测试项目邀请？答案是肯定的。

漏洞复现

假设你现在未收到任何测试项目邀请，也就是邀请数为0。那么可以用以下几步来进行漏洞复现：

1.首先，在HackerOne上找到开启漏洞报告邮件转发功能（Security@email Forwarding）的测试项目，简单地说，可以通过HackerOne赏金项目链接 https://hackerone.com/bug-bounty-programs 来查找，如果确认其测试项目主页中有提供漏洞上报邮箱security@companyname.com，那么，说明该厂商的漏洞报告邮件转发功能（Security@email Forwarding）是开启的。如下图所示：

2.选取其中用来作漏洞报告邮件转发的邮箱，这里就用security@companyname.com来代替吧；