1. 始めに
こんにちは、morioka12 です。
本稿では、2023年に HackerOne で報告された脆弱性レポートで最も人気投票が多かった Top 10 を紹介します。
- 1. 始めに
- 2. Most Votes Top 10
- 10位: Stored XSS via Kroki diagram
- 9位: Insecure Direct Object Reference (IDOR) - Delete Campaigns
- 8位: yelp.com XSS ATO (via login keylogger, link Google account)
- 7位: Blind SSRF to internal services in matrix preview_link API
- 6位: An attacker can can view any hacker email via /SaveCollaboratorsMutation operation name
- 5位: Server Side Request Forgery (SSRF) via Analytics Reports
- 4位: [accounts.reddit.com] Redirect parameter allows for XSS
- 3位: [CVE-2022-44268] Arbitrary Remote Leak via ImageMagick
- 2位: Reset password link sent over unsecured http protocol
- 1位: Delete anyone's content spotlight remotely.
- 3. その他
- 4. 終わりに
対象の脆弱性レポート
- 2023/01/01 ~ 2023/12/27
- 既に開示されているレポート
2. Most Votes Top 10
10位: Stored XSS via Kroki diagram
- Vote: 259
- Severity: High
- Weakness: Cross-site Scripting (XSS) - Stored
- Bounty: $13,950
この脆弱性報告は、Gitlab で Kroki が有効な場合に、Issue に pre タグを指定することで、XSS が可能だったという指摘でした。
9位: Insecure Direct Object Reference (IDOR) - Delete Campaigns
- Vote: 283
- Severity: High
- Weakness: Insecure Direct Object Reference (IDOR)
- Bounty: none
この脆弱性報告は、パラメーター「campaign_id」に所有していたい他のキャンペーンの ID を指定することで、そのキャンペーンを削除することが可能だったという指摘でした。
8位: yelp.com XSS ATO (via login keylogger, link Google account)
- Vote: 284
- Severity: High
- Weakness: Cross-site Scripting (XSS) - Generic
- Bounty: none
この脆弱性報告は、パラメーター「canary」に指定した HTML タグが Cookie の「guvo」にそのまま指定されることで、XSS が可能だったという指摘でした。
7位: Blind SSRF to internal services in matrix preview_link API
- Vote: 292
- Severity: High
- Weakness: Server-Side Request Forgery (SSRF)
- Bounty: $6,000
この脆弱性報告は、チャット機能のリクエストに対して、パラメーター「url」に内部の URL を指定することで、内部サービスのサーブス名とその内部 IP アドレスをのみを取得することが可能だったという指摘でした。
6位: An attacker can can view any hacker email via /SaveCollaboratorsMutation operation name
- Vote: 344
- Severity: High
- Weakness: Information Disclosure
- Bounty: $7,500
この脆弱性報告は、ダミーレポートにコラボレーターとしてユーザーを招待する機能のリクエストに関して、登録されているユーザーのプライベートメールを閲覧することが可能だったという指摘でした。
5位: Server Side Request Forgery (SSRF) via Analytics Reports
- Vote: 346
- Severity: Critical
- Weakness: Server-Side Request Forgery (SSRF)
- Bounty: $25,000
この脆弱性報告は、PDF のレポートを生成する機能のリクエストに関して、パラメーター「template」に HTML タグの iframe タグを指定して PDF を生成することで、SSRF により内部ファイルを読み込んだり、AWS サービスの認証情報を取得することが可能だったという指摘でした。
ちなみに、この脆弱性報告は、2023年の HackerOne の報告で最も報酬金額が高いレポートでした。
4位: [accounts.reddit.com] Redirect parameter allows for XSS
- Vote: 351
- Severity: High
- Weakness: Cross-site Scripting (XSS) - Generic
- Bounty: $5,000
この脆弱性報告は、ログイン機能に関して、リダイレクト先を指定するパラメーター「dest」に XSS が可能だったという指摘でした。
3位: [CVE-2022-44268] Arbitrary Remote Leak via ImageMagick
- Vote: 360
- Severity: Critical
- Weakness: Remote File Inclusion
- Bounty: none
この脆弱性報告は、アップロードされた画像のサイズなどを変更する機能に関して、脆弱な ImageMagick が使われていることによる任意コード実行(RCE)が可能だったという指摘でした。
2位: Reset password link sent over unsecured http protocol
- Vote: 392
- Severity: High
- Weakness: Improper Access Control - Generic
- Bounty: $750
この脆弱性報告は、パスワードリセットのリクエストに関して、メールに送られてきた機微な情報となるパスワードリセットトークンを含む URL が安全でない「http」プロトコルが使われていたという指摘でした。
1位: Delete anyone's content spotlight remotely.
- Vote: 676
- Severity: High
- Weakness: Insecure Direct Object Reference (IDOR)
- Bounty: $15,000
この脆弱性報告は、投稿した動画を削除するリクエストに対して、パラメーター「ids」を他人の動画の ID に改ざんすることで、他人の投稿した動画を削除することが可能だったという指摘でした。
3. その他
2022年の Most Votes Top 10
参考までに、昨年のランキングは以下のようでした。
| Rank | Vote | Weakness | Bounty | Link |
|---|---|---|---|---|
| 1 | 441 | Improper Access Control | $10,000 | link |
| 2 | 300 | IDOR | $12,500 | link |
| 3 | 281 | Path Traversal | $29,000 | link |
| 4 | 268 | Command Injection | $33,510 | link |
| 5 | 263 | Command Injection | $33,510 | link |
| 6 | 260 | Command Injection | none | link |
| 7 | 255 | Privilege Escalation | $20,000 | link |
| 8 | 254 | Buffer Overflow | $10,000 | link |
| 9 | 235 | IDOR | $11,500 | link |
| 10 | 215 | IDOR | $20,000 | link |
ちなみに、2022年に報告された中で、Gitlab からの「$33,510」が最も報酬金額が高いレポートでした。
バグバウンティ入門(始め方)
4. 終わりに
本稿では、2023年に HackerOne で報告された脆弱性レポートで最も人気投票が多かった Top 10 を紹介しました。
ここまでお読みいただきありがとうございました。
