Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Można było hurtem pobierać CV z Linkedin (również CV uploadowane przez rekruterów). Najbardziej banalna podatność z możliwych…

13 stycznia 2023, 09:25 | W biegu | komentarzy 7

W tym miejscu możecie poczytać o szczegółach podatności znalezionej w ramach programu bug bounty LinkedIna:

Unauthorized access to resumes stored on Linkedin [resumes – czyli CV – przyp. sekurak]

Podatność jest klasy IDOR (insecure direct object references), czyli po ludzku można było wykonać mniej więcej coś takiego:
linkedin.com/api/v4/download_resume?id=827387 oraz iterować po kolejnych numerach. Linkedin nie sprawdzał czy mamy uprawnienia do podanego pliku:

Because of the discovered vulnerability the attacker had a possibility to iterate file IDs and get access to resumes of applicants who either apply to different LinkedIn job posts (case 1) or resumes of professionals which were uploaded to LinkedIn by recruiters (case 2 – without actual candidate application).

Warto również podkreślić, że podatność została „przypadkowo wprowadzona” w update z późnego października 2022. W skrócie – pamiętajcie, że czasem niewielka zmiana w aplikacji może być wielką zmianą w jej bezpieczeństwie…

Za znalezisko wypłacono $5000 nagrody, luka została załatana w 24h od zgłoszenia, a wewnętrzne dochodzenie „nie znalazło dowodów na złośliwe wykorzystanie tej podatności” przez postronne osoby.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Mateusz

    5k za taką podatność, symbolicznie powiedział bym:D

    Odpowiedz
  2. Anon

    Zależy czy używali UUIDv4 do identyfikacji CV, bo jełśi tak to bardziej low/mid niż critical

    Odpowiedz
    • Sami oznaczyli to jako „High”, raczej nie używali (jest wprost mowa o możliwości przeiterowania IDka)

      Odpowiedz
    • Stefan

      Czytaj ze zrozumieniem przyjacielu ;)

      Odpowiedz
      • Anon

        Czytam, po prostu zrozumiałem to tak że ten przykład „linkedin.com/api/v4/download_resume?id=827387” tylko obrazuje problem, a nie przedstawia dokładnie reprodukcję podatności i stąd moje wątpliwości.

        Odpowiedz

Odpowiedz