每年3月的疯狂期间,XDA的房东都要进行一次支架挑战,所有房客都可以自由加入并提交选择权。他们使用CBS Sports的March Madness括号服务来管理最高奖项,以管理奖项并计算获奖者。我对篮球了解不多,但我当然对支架管理器应用程序的安全性感兴趣。我决定研究提交我的选择的过程。
提交括号之前,必须先加入一个括号池。通常,这是受密码保护的,并且可以理解为具有截止日期,这意味着用户不能在特定日期(由括号管理员选择)之后加入括号。鉴于我即将参加挑战赛,所以我决定记录参加比赛的请求。在截止日期之后,我打算手动将具有相同请求的池(使用其他帐户)加入。该请求如下所示:
成功!锁定不是在服务器端强制执行的,只是更改了显示逻辑以表明池现在已关闭。这不是一个非常严重的漏洞,但是很有趣。我想知道还会有什么。
接下来是实际提交我的括号。再次,允许用户在特定时间之前提交其括号,此后将不再允许任何提交,也无法随着March Madness的结果出名而对其进行编辑。对?!提交括号时,我注意到POST的有效负载中有一个非常有趣的参数:
应用程序是否依靠客户端来确定发出请求的用户是否是管理员?让我们不要希望!我等到括号提交被关闭,然后尝试发送带有一些新选项的POST请求,将有效负载中的“ manager_action”更改为“ 1”。令人惊讶的是,请求成功,并且我的选择已更新。这可能是一个非常严重的漏洞,因为普通用户可能会运行任何括号功能作为“括号管理器”。这可能包括查看其他参与者的联系信息,以至损害整个结果池的完整性。是时候以负责任的方式披露CBS Sports的漏洞并加以修复了。
