0x00 前言
原文URL:
https://hackerone.com/reports/242964
漏洞很简单,hackerone官方就给回复了一句话。
虽然我们再用户提交付款方式时向用户发送电子邮件,但是再他们的首选付款方式被修改时,我们未发送通知。这份报告指处了这个疏忽。
虽然很简单的一个漏洞,但是也给了500美刀。下面,我来分享这个漏洞。
经过3个月的讨论,hackerone给了赏金,再过3个月,这个漏洞被公开。
由此可以看见,这个漏洞也是再hackerone内部被讨论了很多次。虽然看不见他们讨论了什么,但是,可以猜测。应该是利用方式(难度),漏洞危害等。说白了就是对CIA的评估。
那么我们现在换一个角度,设想一个漏洞利用的场景。
一个金融公司,他们的厂商存在这个漏洞。
现在,一个黑客,通过社会工程/其他手段,得到了客户的账号密码。
当黑客拥有了你的账号,提现账号余额的时候,还是只能提现到你的银行卡。国内现在P2P金融包括微信理财皆用的此种方式。
假如黑客现在利用这个漏洞,黑客添加了第二个提现方式,而你还是一脸懵逼的,你完全不知道你的账号被修改了。
而厂商完全没有对你发出提醒,将会导致你的余额就被全部转走了。
这个时候,如果你去起诉这个公司,我觉得,胜算是很大的。
所以,在我们看来:即使这个漏洞利用难度大,而且是很小的一个点,很小的一个细节。
不由让人产生出这玩意居然还能给钱的感觉.....
但是在业务流程领域,同样存有安全风险,而这类风险无法通过扫描器的方式判断。