api漏洞系列-越权查看信息

简介: 漏洞描述允许攻击者泄露任何用户私人电子邮件的安全漏洞。攻击者可以通过创建一个沙箱程序,然后将用户作为参与者添加到报告中,从而泄露任何用户的私人电子邮件。现在,如果攻击者通过API发出获取报告的请求,响应将在活动对象中包含邀请的用户私人电子邮件。

前言


声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。


漏洞描述


允许攻击者泄露任何用户私人电子邮件的安全漏洞。

攻击者可以通过创建一个沙箱程序,然后将用户作为参与者添加到报告中,从而泄露任何用户的私人电子邮件。

现在,如果攻击者通过API发出获取报告的请求,响应将在活动对象中包含邀请的用户私人电子邮件。


复现步骤


重现步骤:

1.转到提交给程序的任何报告。

2.将受害者的用户名作为参与者添加到报告中。

3.生成一个API令牌。

4.通过API获取报告。

请求:

URL GET/POST data: GET METHOD:
https://api.hackerone.com/v1/reports/[report_id]

img_21.png

响应为(包含被邀请的用户电子邮件:):

"activities":
{
"data":[
{
"type":"activity-external-user- invited",
"id":"1406712",
"attributes":{
"message":null,
"created_at":"2017-01- 08T01:57:27.614Z",
"updated_at":"2017-01- 08T01:57:27.614Z",
"internal":true,
"email":"<victim's_email@example.com>"
}


目录
相关文章
|
1月前
|
Linux API 数据安全/隐私保护
【Linux 用户管理】Linux用户身份信息获取与管理API 接口
【Linux 用户管理】Linux用户身份信息获取与管理API 接口
31 0
|
1月前
|
API PHP 开发者
大麦网 API 接口商品详情信息 API
为了让更多用户了解到大麦网的商品详情,并能够方便地获取相关信息,大麦网推出了商品详情 API 接口。本文将介绍大麦网商品详情 API 接口的作用、使用方法和注意事项,帮助广大开发者更加方便地接入大麦网的产品。
|
1月前
|
机器学习/深度学习 搜索推荐 API
商品信息全景图:API接口在聚合商品数据中的应用
在电子商务的世界中,API接口是连接不同服务和数据的桥梁。特别是在商品信息的聚合上,API接口扮演了至关重要的角色,它允许开发者从多个来源收集、整合并展示商品信息,从而为消费者提供全面且一致的购物体验。本文将深入探讨API接口在聚合商品数据中的应用,并通过具体的代码示例来揭示其工作原理。
|
1月前
|
机器学习/深度学习 JSON 监控
智能定价模型:借助API实时更新商品价格信息
在电子商务的迅猛发展中,价格战成为商家间常见的竞争方式。然而,一成不变的价格策略无法满足市场的即时需求和消费者的多变偏好。因此,智能定价(也称为动态定价)成为了电商平台提升市场竞争力的关键工具。智能定价模型通过实时监控市场数据和消费者行为,自动调整商品价格以最大化收益或实现其他商业目标。本文将深入探讨如何利用API技术实现智能定价,并提供一个Python代码示例来指导读者进行实时价格更新。
|
7月前
|
Kubernetes API Docker
k8s教程(pod篇)-容器获取pod信息(Downward API)
k8s教程(pod篇)-容器获取pod信息(Downward API)
437 0
|
1月前
|
弹性计算 JSON Shell
基于Web API的自动化信息收集和整理
【4月更文挑战第30天】
26 0
|
1月前
|
XML JSON API
1688商品详情API接口获取商品信息
在电商领域,商品详情页面是用户了解商品详细信息的重要途径。为了方便开发者快速获取商品信息,阿里巴巴旗下的1688平台提供了商品详情API接口。本文将介绍如何使用1688商品详情API接口获取商品信息,并通过代码示例进行详细说明。
|
1月前
|
JavaScript 前端开发 Java
淘宝/天猫获取sku详细信息 API接口(如何抓取别人的sku图淘宝)
淘宝/天猫平台提供了获取商品SKU(Stock Keeping Unit,库存量单位)详细信息的API接口。SKU通常代表一种具有独特属性的商品变体,如颜色、尺寸等。为了获取淘宝/天猫商品的SKU详细信息,您可以遵循以下步骤:
|
1月前
|
存储 API 数据安全/隐私保护
1688阿里巴巴中国站获得公司档案信息 API接口(档案信息有什么用)
要获取1688阿里巴巴中国站的公司档案信息API接口,你需要遵循阿里巴巴开放平台的开发流程,并申请相应的API权限。以下是一些基本的步骤和指导:
|
1月前
|
JSON 缓存 API
淘宝天猫获取sku详细信息 API 调用文档 及请求代码
淘宝天猫获取SKU详细信息的API调用通常涉及到商品信息的API接口。在淘宝开放平台或天猫开放平台上,你可以找到相关的API文档和调用示例。下面是一个简化的步骤和示例代码来展示如何调用这些API: