HackerOneレポート確認 ~NextCloud
前回宣言した通り、
NextCloudのバグバウンティをするために、現在確認されているレポートを確認してみます。
参考:https://hackerone.com/nextcloud/hacktivity
とりあえず検索で出てきた数件を確認
Missing ownership check on remote wipe endpoint:High:$500.00
参考:https://hackerone.com/reports/819807
【内容】
存在していた脆弱性には、URLにdata-IDが振られて管理されていた
2ユーザでそれぞれアカウントを作り、片側でデバイスの削除を行う
その際、Burpでリクエストを止め、data-IDをもう一方のアカウントに差し替えると、別アカウントのデバイスを削除してしまえる
data-IDが削除を行おうとしている自身のものであることを確認していなかったことが原因
User can delete data in shared folders he's not autorized to access:Medium:$250.00
参考:https://hackerone.com/reports/642515
【内容】
admin_groupとtest_groupに属するグループフォルダTESTを作成
TEST--
|-visible
|-invisible--
|-test.txt
この状態で、test_groupに対してinvisibleフォルダの権限を、
読み込み書き込みその他もろもろを許可しない設定にする
この状態でtest_groupに属するtestユーザでログインすると、
visibleフォルダしか表示されていない
この状態で、invisibleフォルダを作成すると、エラーになるだけである
しかし、新しtmpフォルダおよびtest2.txtファイルを作成すると、オンライン上にSynchされ、その後tmpフォルダの名前をinvisibleとすると、online上にもともとあったinvisibleフォルダをtmpの内容で上書きしてしまう
リネーム後の名前が同一だった場合の処理にバグがあった例
Code injection in macOS Desktop Client:Low
参考:https://hackerone.com/reports/633266
【内容】
すいませんちょっとわかりませんでした。。。
Access to all files of remote user through shared file:Medium:$750.00
参考:https://hackerone.com/reports/258084
【内容】
前も見たやつですね
UserAがmovie.mp4をuserBと共有し、
UserBがファイルにアクセスするためにwebdavを使う
共有されたファイルが通常のファイルとして見える
webdav上でそのファイルをコピーして同じフォルダ上にペーストする
すると、共有したファイルを含むフォルダ全体が新規で作成されてしまう
作成されたファイルにもアクセス可能
ファイルのコピペ系での動作不具合
"Secure View" aka "Hide Download" can be bypassed easily:High:$100.00
参考:https://hackerone.com/reports/788257
【内容】
ダウンロードが禁止されたファイルに対しても、
/downloadをURLに入れるだけで簡単にダウンロードが可能になってしまう
ロールによって実行できるできないがあった場合でも、URLによる制御をする場合は確認が必要
Self xss:Low
参考:https://hackerone.com/reports/388527
【内容】
以下URLにペイロード部分を追加することでXSSができてしまう
</title>"><script>alert(205)</script>'"><marquee><h1>nextcloud.com</h1></marquee>
File-drop content is visible through the gallery app:Medium:$500.00
参考:https://hackerone.com/reports/719426
【内容】
file-dropという機能で、データのアップロードのみを許可する設定を入れる
それにもかかわらず、garelly機能でアップロードしたデータが見えてしまう
とある機能で制限した権限が、他の機能ではスルーされてしまった例
Remote code execution via path traversal in Zip extraction in the Extract app:High
参考:https://hackerone.com/reports/765291
【内容】
[Reflected XSS] In Request URL:Low:$50.00
参考:https://hackerone.com/reports/515484
【内容】
ソースコード解析で、以下のコードが含まれている
<a class="button" href="<?php echo str_replace('/index.php', '/../', $updaterUrl); ?>">
こちらでは、以下のPOSTでXSSができてしまう
POST /updater/index.php/h"><script>alert(1);</script> HTTP/1.1
Host: vulns.local
Content-Type: application/x-www-form-urlencoded
Content-Length: 33
updater-secret-input={OUR_SECRET}
静的解析をすることで、脆弱性を見つけることが可能な例
今回のレポートに関するまとめを次の記事で簡単にまとめようと思います。
そこから、バグバウンティの進め方を決めようかと。
以上