赏金猎人 | 挖掘TP-Link 服务中的信息泄露漏洞

前言

作为一名专注于安全研究的人员,我经常利用空闲时间探索漏洞奖励计划的世界。尽管传统平台提供了不少有价值的机会,我也会将调查扩展到一些知名厂商的公开系统上。

最近,我在一个 TP-Link 的子域上发现了一个重大安全问题,该漏洞暴露了包含明文密码的敏感用户信息。

在问题上报给 TP-Link 后,适当的安全措施已在发布前采取。以下所有信息均已适当处理,以维护保密性并遵守道德标准。

注册和手动帐户审核

我首先在与业务客户服务相关的 TP-Link 子域上注册,起初我以为这会是一个顺利的注册过程。

然而,当我完成注册后,页面弹出了一条消息,表示账户需要经过手动审核才能获得批准。

确实如此,使用新创建的帐户登录是不可能的:

绕过账户验证

为了进一步探索,我决定尝试绕过账户验证。

我访问了"忘记密码"页面,并输入了注册的电子邮件地址,申请了密码重置。

我收到了包含新临时密码的电子邮件:

使用提供的临时密码登录后,我被引导到个人资料编辑页面,以设置新密码。

这个过程成功绕过了手动审批步骤,揭示了一个漏洞。我成功进入了系统。

敏感信息泄露

在获得账户访问权限后,我开始检查应用程序发出的 API 请求。发现用于检索个人资料信息的 API 请求中包含了明文密码,这本身就构成了安全风险。

此外,我注意到获取个人资料信息是通过用户 ID 进行请求的,这个 ID 似乎是一个迭代器。

我尝试操控用户 ID。在 API 请求中替换不同的数字后,暴露了一个关键漏洞------能够访问任何用户的信息,包括管理员用户的凭据。这是一个 IDOR(Insecure Direct Object Reference,非安全的直接对象引用)漏洞。

IDOR(非安全的直接对象引用)漏洞是一种安全缺陷,当应用程序允许直接访问内部对象或资源而没有适当的授权时,就会发生这种问题。这使得攻击者能够操控或访问未授权的数据。

这意味着,通过进行简单的入侵攻击,恶意行为者可能会下载所有用户的个人资料及其密码。这一漏洞对用户信息的隐私和安全构成了严重威胁。此外,由于这是一个活跃资源,TP-Link 的商业客户正在使用,因此风险非常高。

潜在风险

1.账户接管: 利用泄露的凭据,恶意行为者能够完全控制用户账户,从而对账户设置进行操控。数据泄露: 泄露的敏感用户信息,包括明文密码,为未经授权访问个人数据提供了途径。恶意行为者可能利用这些信息进行身份盗窃、金融诈骗或其他恶意活动。社会工程攻击: 拥有用户凭据后,攻击者可以发起针对性的社会工程攻击。他们可能冒充合法用户,欺骗他人泄露敏感信息,或借此获取信任,进一步利用个人或组织。密码重用攻击: 许多人在不同账户中重复使用密码。攻击者可以利用获取的凭据尝试访问其他在线服务,从而可能危及更多账户和敏感信息。系统破坏: 拥有管理员凭据后,恶意行为者可以控制系统基础设施。这可能导致未经授权的修改、数据操控,甚至系统的完全崩溃,对组织及其用户构成重大威胁。

提交报告

在发现 TP-Link 子域上的严重安全漏洞后,我立即向 TP-Link 支持人员报告了该问题。

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

相关推荐
阿伟来咯~5 分钟前
vue3+Nest.js项目 部署阿里云
开发语言·javascript·ecmascript
pianmian16 分钟前
【无标题】
python
IT北辰39 分钟前
Python数据处理:文件的自动化重命名与整合
数据库·python·自动化
zym大哥大40 分钟前
HTTP协议重定向及交互
网络·网络协议·http
不想上班只想要钱1 小时前
vue3使用<el-date-picker分别设置开始时间和结束时间时,设置开始时间晚于当前时间,开始时间早于结束时间,结束时间晚于开始时间
前端·javascript
2501_915373881 小时前
Electron 入门指南
前端·javascript·electron
沉到海底去吧Go2 小时前
【图片识别改名】批量读取图片区域文字识别后批量改名,基于Python和腾讯云的实现方案
开发语言·python·腾讯云
AI产品备案2 小时前
算法备案类型解析:如何判断你的算法属于哪种类型?
深度学习·安全
言之。2 小时前
Go语言Context机制深度解析:从原理到实践
服务器·网络·golang
百锦再2 小时前
Python深度挖掘:openpyxl和pandas的使用详细
java·开发语言·python·框架·pandas·压力测试·idea