【$6000】绕过Apple SSO
【$6000】绕过Apple SSO
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |
背景介绍:
今天的分享来自Stealthy白帽子,这位20岁的白帽小伙子,从2018年起就开始从事漏洞悬赏工作,他的大部分时间都在HackerOne上,并且专门研究Web应用程序漏洞。
漏洞介绍:
漏洞存在于苹果的如下站点:
https://rampadmin.apple.com
苹果公司的单点登录通过IDMS身份验证来保护站点,该应用程序会阻止对网站的访问,然而,仍有一些信息可被利用。
通过目录遍历,白帽小哥很快发现了一处URL:
https://rampadmin.apple.com/admin
除这一个站点外,所有站点和目录都受到身份验证保护,admin 目录中的健康站点检查对公共用户是可见的。
https://rampadmin.apple.com/admin/* → 需要 302 SSO 身份验证https://rampadmin.apple.com/admin/healthcheck → 200 OK
因此,使用 Apache 的冒号路径遍历技术,即可以绕过访问控制查看 admin 目录中的文件。
https://rampadmin.apple.com/admin/data/existing_UAT_DS_App_Ids.json → 需要 302 SSO 身份验证https://rampadmin.apple.com/admin/healthcheck/..;/data/existing_UAT_DS_App_Ids.json → 200 OK
这是由于错误配置,后端将URL/..;/格式化成了/../
而关于这个漏洞的成因及详细信息,大家可以查阅Google的这个PPT(需FQ)。
https://docs.google.com/presentation/d/1dYmdqZh-8JJ-FV20dtAz4VTLshDNBIhpGvfr4xv0OiA/edit#slide=id.g53f0d66d2e_0_141
漏洞影响:
白帽小哥通过该漏洞可以访问到一些文件,这些文件披露了Apple公司内部系统的内部架构管理信息,包括存在哪些系统、它们的名称和相关ID以及系统描述信息。
当然,Apple公司迅速修复了这个漏洞,并为白帽小哥支付了6000美元的漏洞赏金。