本篇文章為大家展示了怎么分析HackerOne安全團隊內部處理附件導出漏洞，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

創新互聯建站堅持“要么做到，要么別承諾”的工作理念，服務領域包括：網站建設、網站設計、企業官網、英文網站、手機端網站、網站推廣等服務，滿足客戶于互聯網時代的郫都網站設計、移動媒體設計的需求，幫助企業找到有效的互聯網解決方案。努力成為您成熟可靠的網絡建設合作伙伴！

大家好，今天我要和大家分享的是一個和HackerOne平臺相關的漏洞，該漏洞在于可以利用HackerOne平臺的“Export as.zip”功能（導出為.zip格式），把HackerOne安全團隊后臺的漏洞處理圖片附件導出。

漏洞說明

首先要說明的是，這個漏洞是我在2016年底就發現的漏洞了，HackerOne也已作了公開，在此想寫出來，一是為了分享，二是想告訴大家要發現漏洞其實也并不是那么難。

這是一個功能性Bug漏洞，屬于信息泄露漏洞，但是，基于該漏洞的嚴重性和對業務的影響程度，HackerOne決定給予我最高的漏洞賞金，這也是HackerOne自開通自身漏洞測試項目起，給出的單個提交漏洞最高獎勵。

漏洞嚴重性：高  (7.5)

漏洞定性: 信息泄露 (CWE-200)

漏洞端倪

HackerOne是一個知名的第三方漏洞眾測平臺，在HackerOne中，廠商的漏洞測試項目公開披露某個漏洞時，有兩種披露模式可選，一種是完全披露（Full disclosure），另一種是有限披露（ Limited disclosure）。其中，完全披露也就是我們平常在H1看到的正常披露方式，這種披露狀態下包括了漏洞信息、測試附件截圖和整個的漏洞處理進程；而有限披露中，則會對漏洞摘要信息進行隱藏，就連安全團隊與白帽之間的評論、溝通和操作處理進程等內容也有所限制。

2016年11月14日，HackerOne平臺推出了一項名為“EXPORT”的報告導致新功能，可以在公開披露漏洞報告中的TIMELINE- EXPORT按鈕處找到，如下：

白帽子們在查看一些HackerOne公開披露的漏洞報告時，可以利用該功能導出報告，導出方式有View raw text（查看原始文本）和Export as .zip（導出為.zip格式）兩種。

View raw text（查看原始文本）：從中可查看到整個漏洞報告的文本文字，方便復制粘貼。如下：

Export as .zip（導出為.zip格式）：可以把整個漏洞報告的文本打包為.zip壓縮格式下載。如下：

漏洞發現

在HackerOne推出了這項報告導出功能之后的第三天，我才注意到，說實話我的節奏是有點晚了，但不管那么多，我還是著手來進行一些測試吧。11月17日那天，我先做的測試就是，導出一些編輯過的限制型披露報告，看看能否在其中能看到一些編輯隱藏（redacted）的文本內容，但最后發現，這根本不可以。

11月29日，當我在HackerOne的hacktivity上查看披露漏洞時，我忽然看到名為@faisalahmed的白帽提交了一個與HackerOne報告導出功能相關的漏洞，在提交漏洞中，@faisalahmed描述了他可以通過View raw text（查看原始文本）方式看到一些編輯隱藏的限制型內容（redacted text），What，真的嗎？！我怎么一直沒發現呢！在看了@faisalahmed的漏洞報告后（https://hackerone.com/reports/182358），我才發現人家是在報告導出功能后的第二天就提交了這個漏洞了，我完全落后了！

好吧，算我沒那個運氣吧，那就來認真閱讀一下人家的漏洞報告吧。于是，我就點擊了“EXPORT”按鈕把整個漏洞報告導出為.zip格式進行了下載。

當我解壓了.zip格式的壓縮包后，看到其中包含了一個text文檔和一張圖片，text文檔說明了整個漏洞的處理進程和結果，但，等等....，這里的這張圖片是什么東東？我迫不及待地打開一看，這是一張漏洞驗證（PoC）的截圖，但是在HackerOne公開披露的報告中沒有這張圖片啊！而且，我在報告中還看到@faisalahmed希望HackerOne在報告公開后，移除一張圖片附件的評論請求，如下：

如果我沒猜錯的話，這張圖片就是@faisalahmed希望HackerOne移除的那張圖片附件，由此，我立馬寫了一個以下的簡單漏洞重現步驟，向HackerOne提交了這個漏洞。

漏洞重現步驟：

1、訪問@faisalahmed提交的漏洞報告 https://hackerone.com/reports/182358

2、點擊“EXPORT”按鈕，用 Export as .zip 功能把漏洞報告導出為.zip壓縮格式

3、解壓.zip格式報告壓縮包(HackerOne_Report-security#182358.zip)

4、可以查看到公開披露報告中已經移除的圖片附件

上報漏洞僅12分鐘之后，HackerOne安全團隊就確認并分類了該漏洞：

20分鐘之后，HackerOne安全團隊就執行了修復，并向生產環境系統中部署了解決方案：

兩天之后，HackerOne官方向我獎勵了自其漏洞測試項目開展以來的最高獎勵 ?$12,500 美金：

漏洞修復

現在，當我們以.zip格式下載任何一個HackerOne公開披露的漏洞報告后，也已經無法在其中查看到任何作了刪除和編輯隱藏的截圖附件，只包含了一個txt的漏洞文本。

上述內容就是怎么分析HackerOne安全團隊內部處理附件導出漏洞，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注創新互聯行業資訊頻道。