El fallo que permitia escribir en una galleta de Badoo y como gane mi recompensa

Soy muy amante de los BugBounty y uno de mis favoritos es HackerOne pues la considero una plataforma muy completa, entre las empresas que se encuentran afiliadas a su programa de recompensas, se encuentran algunos gigantes como spotify, shopify, blockchain, badoo entre otras empresas.
La historia del fallo de hoy empieza el dia en que me puse analizar la seguridad de las empresas afiliadas a HackerOne como podran intuir por el titulo logre encontrar uno en Badoo.com , para quienes no lo sepan Badoo es una red social orientado a los encuentros entre sus usuarios posee mas de 240 millones de usuarios registrados y 35 millones activos  esta disponible en plataforma movil con soporte para ios , android y plataforma web, el fallo es relativamente simple de explotar pero la superficie de ataque resulta muy grande, lo encontre en la version web para moviles m.baddo.com y  permitia sobreescribir el valor de una cookie (galleta en español) con un valor arbitrario.

Cookies (galletas) son fundamental en la web

Cookies (galletas) son fundamental en la web

 

 

 

 

 

 

 

 

Primero debo decir que nunca me imagine encontrar este fallo en una red social tan grande pero al final todo puede pasar, la forma de encontrarlo fue sencilla, primero utilze la herramienta Burp Suite y me puse a navegar por la web, es a mi parecer lo mejor para comenzar, un escaneo no invasivo, navegar como un usuario normal, despues de 45 minutos aproximadamente, me puse analizar los registros grande fue mi sorpresa cuando vi el siguiente link.

https://mus1.badoo.com/es/help?platform=4&sessionId=YYYYYY

Seria acaso posible que se pudiera cambiar el valor de una galleta solo con un link, lo averigue enseguida.

Curl 7.50.3

Curl 7.50.3

 

 

 

 

 

 

 

Y efectivamente, era posible, y lo mejor o lo peor depende del punto de vista, es que la galleta afectada a sobrescribir no era cualquiera era nada menos que el Session Id , por lo que ya se imaginaran lo peligroso que puede resultar, se me ocurrio dos posibilidades de ataques .

  1. Escribir en la galleta un valor inválido, que el sistema no pueda interpretar y provocar un DoS al cliente afectado.
  2. Escribir en la galleta un valor válido (el de otro usuario ), y que el usuario atacado realize acciones a su nombre, como comprar creditos, etc.

Envié el fallo, y después de algunos meses de confirmación recibi mi recompensa (260 USD) , (pueden verlo aqui) , como conclusión quiero escribir que este fallo resulta muy dificil de creer, me imagino que en un momento dado los desarrolladores, en la etapa de testing querian una forma rápida de cambiar el valor de la galleta y al final se olvidaron de quitarlo de ahi, son cossas que pasan supongo, para terminar quiero decirles si esto a podido pasar a una empresa con millones usuarios y muchos dolares invertidos en seguridad, ¿ crees que tu empresa esta a salvo?, prevenir es mejor que lamentar.

Ahiezer Alvares.

COMPARTIR:

Comentarios

comentarios

Comments are closed.