12,500美元GraphQL漏洞：HackerOne平台自身漏洞曝光事件剖析

“那价值12,500美元的GraphQL故障：曝光了HackerOne自家的黑客”

在研究API安全漏洞时，我遇到了一个引人入胜的案例。研究员0xrayan1996在HackerOne自家的平台上发现了一个严重的信息泄露漏洞。这个案例表明，即便是专注于安全的公司，也可能在其GraphQL实现中忽略基本的访问控制检查。

漏洞：当协作功能泄露私人数据时

问题出在HackerOne的报告协作系统中，具体而言是在SaveCollaboratorsMutation这个GraphQL操作上。该功能允许研究员邀请协作者参与漏洞报告，但在处理邮箱地址的方式上存在一个严重缺陷。

攻击流程：

1. 在HackerOne上创建一个虚拟的漏洞报告。
2. 邀请其他研究员作为协作者。
3. 在管理协作者时拦截GraphQL请求。
4. 观察到API响应中包含了受邀用户的私人邮箱地址——甚至在他们接受协作请求之前。

该漏洞使得任何研究员都能够发现其他HackerOne用户的私人邮箱地址，其中包括顶级黑客和项目……FINISHED

CSD0tFqvECLokhw9aBeRqvYTD3cAv2GUNlJNRecGo+IBSQ1R7ChZ8BwmTtY7QPHKYlL4KZxG6u3Rx/LnehoB9V8msWAbtwgq6DI7qMJw+lal/hRI94Vjxo+xill+REXuXKvLRcbrmd3aEAZ/nD+6oA==