To mention well-known manufacturers felt BUG: Security is an awareness

Foreword

Monday (2019.07.22), to a well-known mobile phone "giant" raised a security BUG , after quietly repaired, Friday I reply "ignored" , where thousands of words omitted mental activity .... .

Safety friends do say this is all trivial, domestic atmosphere is not that good, hackone would not have.

Today Saturday write some text, since security issues have been fixed, and that there was no immediate dispatch problem, however,

Write Ethereal complement graph paper process, found that security fixes only appearance , half-written article, not fat nor hair nor ...

Discretion over and over again , how to do things half the truth, so the finished article, pictures of all coding process, exchanges mainly improve everyone's safety awareness .

If this article there is something wrong, please contact me delete .

 

First, the security flaw

No nonsense, saying the flaw:

• Vulnerability: no authorization and are free to upload any image url, image links to share access to others 

[figure 1]

 

• harm:

1. What upload pictures derivative marketing to share the name of the official communication, indeed the official address, the user deceived doubled the chance of damage to the credibility of official authority;
2. Upload politically sensitive category (anti-D, anti-G) pictures , and spread, it is the enterprise is fatal;
3. Upload small yellow dot map ...
4. Competitors, making a last FIG rumor, false news points ..
5. In the final analysis is a free view of the bed, you can think through the map to achieve the basic purpose can be.

[figure 2]

 

• solution:

1. A program to increase authentication: Authentication is upload operation
2. Option II, isolated from external network access: the case only within the network test, it is recommended isolated external network access, remote access vpn Netcom can

URL uncertain because its role is just plain given two basic proposals.

 

• The official answer:

[image 3]

 

• I think the vulnerability status: Open (2019.07.27)

1. Upload shield only the original WEB page URL access
2. 上传图的API接口仍可以随意上传

但我也不会去提BUG，就这样喽，拉黑大厂，哈哈哈，总结请见第三节。

 

二、事件经过

•  周一：发现漏洞

1. 手机收到推送消息“测试链接”（请见下图4）
2. 测试长期养成的好奇心，手痒点击通知，自动安装了其官方某APP
3. 玩了一下乏味，自已的测试习惯，用抓包工具玩一玩
4. 所有请求都是https的，手机就算装了Fiddler证书，APP操作过程也会提示证书不安全，安全意识很高哈
5. 花3分钟遍历了一下界面，发现个URL，WEB打开显示“内销xxx测试图片上传”界面...（请见图1）

[图4]

 

•  周一：反馈平台

1. 谨慎上传了多张图片，WEB上传，API接口上传都成功... [一脸蒙逼图]
2. 在朋友的指导下，将漏洞整理后，通过SRC平台反馈官方 (请见图1)
3. SRC平台漏洞进度：待审核
4. 发现BUG的喜悦，让一天的心情都变得很美妙

 

•  周二：官方第一次修复

1. 周二查看，已发现官方屏蔽了WEB上传的入口
2. SRC平台漏洞周二进度：待审核

[图5]

 

•  周三：官方第二次修复

1. 周三官方又进行了修复
2. SRC平台漏洞周三进度：待审核

 

 [图6]

•  周四：漏洞已修复，进度待审核

1. SRC平台漏洞周四进度：待审核

 

 [图7]

•  周五：漏洞已修复,拜拜了您

1. SRC平台漏洞周五进度：已忽略
2. 漏洞什么漏洞，不存在的，您开什么玩笑
   

 [图8]

 [图9] 

 

•  周六：写文补图，漏洞只修了表面

1. What？原来只是修复了表面，API还是没有鉴权。

 

[图10]

 

三、事件思考

• 我的测试习惯：

1. 追根问底的习惯，当然也会因时间关系错过很多BUG，所以一直在提升自我能力与视野同时，定期深入测试一线，以保持发现BUG的能力，所以才有我在写本文过程中发现，安全问题其实根本没有真正修复。
2. 截图或留日志的习惯，此文中大部分图是在测试时习惯性的保存，所以此文整理没有花费太多时间，有图有证据，谁都别想甩锅给测试小伙伴。
3. 多次验证结果的习惯，问题出现大部分是偶然，必现步骤与必现环境，需要不断求证自己新的假设，在条件允许的情况下尽量不放过一处BUG。
4. 延迟满足的习惯。

• 安全意识：

1. 几年前我对安全的较浅的认知，《浅谈MITM攻击之信息窃取(解密315晚会报道的免费WIFI窃取个人信息)  》https://www.cnblogs.com/findyou/p/5285900.html
2. 安全问题依旧是人的问题，从未变过：关键岗位人员安全意识薄弱，能力受限与视野窄，决策失误。
3. 内部测试URL的泄漏，与安全问题响应时间，侧面反应，某厂的管理混乱，流程繁琐。
4. 一定程度反应，某厂安全平台负责人在安全意识，可能跟我水平不相上下，真的很菜，指哪动哪，完全不去思考延伸，业务关联等，仅修复了表面问题，深层次即鉴权的问题，完全没管。

• 如保规避此类安全问题：

1. 内部测试URL、工具等，严禁外网访问
2. 内部所有访问与操作，理应配相关权限，SSO管理也是不错的选择
3. 新员工安全培训，不应该限于代码安全，配置安全，对弱密码、社工相关的也应提供相应的培训
4. 定期评估关键岗位人员能力，以实操为主，排除仅是PPT的能力
5. 系统、代码等常规漏洞，管理、流程等漏洞也是需要定期评估
6. 建SRC平台，提供给白帽反馈的渠道，如何激励是关键，不然就如同某厂....嗯，我居然能排在第68位
7. 有能力则邀请专业人员定期做安全评估。

 

 

附：

1、Android抓包方法(一)之Fiddler代理

2、Android抓包方法(二)之Tcpdump命令+Wireshark

3、Android抓包方法(三)之Win7笔记本Wifi热点+WireShark工具

4、浅谈MITM攻击之信息窃取(解密315晚会报道的免费WIFI窃取个人信息)  

 

 

转载说明

本文为原创文章，如需转载，请在开篇显著位置注明作者Findyou和出处