你聽(tīng)說(shuō)過(guò)谷歌的漏洞跟蹤管理平臺(tái)（ Google Issue Tracker）嗎？ 我想大多數(shù)人可能沒(méi)有，除非你是谷歌內(nèi)部雇員或是最近上報(bào)過(guò)谷歌相關(guān)產(chǎn)品漏洞的開(kāi)發(fā)者。我也不知道這個(gè)東西，直到最近我通過(guò)上報(bào)給谷歌的漏洞才發(fā)現(xiàn)，谷歌除了通常的郵件通知外，還采取了這個(gè)新的漏洞跟蹤反饋處理機(jī)制（如下圖所示），所以，我決定想辦法來(lái)搞搞它。

根據(jù)相關(guān)文檔介紹，該漏洞跟蹤反饋平臺(tái)在谷歌內(nèi)部稱(chēng)為Buganizer，是谷歌內(nèi)部用于產(chǎn)品開(kāi)發(fā)周期內(nèi)對(duì)漏洞和需求問(wèn)題進(jìn)行跟蹤反饋的系統(tǒng)。為滿(mǎn)足多方和特定項(xiàng)目合作需求，它同樣提供了外部訪(fǎng)問(wèn)接口。

也就是說(shuō)，如果谷歌產(chǎn)品存在被人上報(bào)的漏洞問(wèn)題，這些問(wèn)題就會(huì)顯示在該平臺(tái)中，有點(diǎn)道理，對(duì)吧？作為外部用戶(hù)的我們，只能看到其中的冰山一角：顯示給我們的僅只是預(yù)先審核分類(lèi)過(guò)的信息，或一些內(nèi)部用戶(hù)添加外部賬戶(hù)的問(wèn)題，包括白帽們上報(bào)的一些漏洞報(bào)告。而在這些表面信息之下又存在著多少不為人知的深層漏洞信息呢？我們來(lái)一探究竟。

看看漏洞和問(wèn)題的最近排序ID，我們能估計(jì)出該平臺(tái)的大概處理工作量，峰值時(shí)最多第小時(shí)能接收2000至30000個(gè)問(wèn)題報(bào)告，而谷歌選擇公開(kāi)的，僅只是這些問(wèn)題或漏洞的0.1%，如果該平臺(tái)存在信息泄露漏洞，那就好玩了，好吧，我們一起來(lái)看看！

第一個(gè)漏洞：通過(guò)更改Buganizer平臺(tái)關(guān)聯(lián)郵箱地址繞過(guò)谷歌身份認(rèn)證

經(jīng)研究發(fā)現(xiàn)，Buganizer平臺(tái)在對(duì)問(wèn)題和漏洞的跟蹤處理過(guò)程中，會(huì)以以下特殊郵箱格式向漏洞上報(bào)人發(fā)送一些漏洞相關(guān)的交流信息：

buganizer-system+componentID+issueID@google.com

其中，componentID代表分類(lèi)，issueID代表特定的漏洞問(wèn)題編號(hào)。

這讓我想起了最近有研究人員披露的helpdesk服務(wù)控制臺(tái)欺騙技巧，利用該技術(shù)可以結(jié)合以上郵箱模式對(duì)某些公司的內(nèi)部聊天系統(tǒng)進(jìn)行成功滲透?？紤]到該郵箱地址是以@google.com結(jié)尾的，所以我用以上谷歌的一個(gè)郵箱地址為賬戶(hù)去嘗試登錄谷歌的Slack服務(wù)，雖然出現(xiàn)了一個(gè)登錄確認(rèn)頁(yè)面，但卻沒(méi)有任何Slack的返回信息，有可能是谷歌內(nèi)部團(tuán)隊(duì)沒(méi)有開(kāi)啟或利用Slack服務(wù)。

接下來(lái)我能想到的就是，想辦法獲取一個(gè)谷歌內(nèi)部雇員郵箱@google.com了，這樣或許能對(duì)這樣或許能對(duì)Buganizer平臺(tái)的訪(fǎng)問(wèn)提供特殊權(quán)限，這種內(nèi)部雇員郵箱一般通過(guò)外網(wǎng)是注冊(cè)不了的，只有內(nèi)部員工或外包商才能擁有。

于是我嘗試?yán)靡环N方法來(lái)繞過(guò)這種機(jī)制：在使用谷歌Buganizer平臺(tái)過(guò)程中，Buganizer平臺(tái)的Google賬戶(hù)關(guān)聯(lián)郵箱可以任意更改，所以我把其更改為了buganizer-system+123123+67111111@google.com，之后，Buganizer平臺(tái)會(huì)向我之前舊的關(guān)聯(lián)郵箱發(fā)送來(lái)一封

關(guān)于當(dāng)前Buganizer平臺(tái)Google賬戶(hù)關(guān)聯(lián)郵箱地址變更的確認(rèn)郵件，其中包含了一個(gè)確認(rèn)鏈接：

這一改，Buganizer平臺(tái)就已經(jīng)默認(rèn)我是谷歌內(nèi)部員工了！點(diǎn)擊返回的確認(rèn)鏈接之后，就直接轉(zhuǎn)到了谷歌的內(nèi)部登錄系統(tǒng)了：

答案是肯定的，在此，這個(gè)新注冊(cè)郵箱buganizer-system+123123+67111111@google.com當(dāng)然是不能成功登錄進(jìn)入的。但已經(jīng)能夠說(shuō)明問(wèn)題了：利用這種漏洞，我能對(duì)其它谷歌服務(wù)的安全性作出測(cè)試，或許能享受其車(chē)輛定位服務(wù)系統(tǒng)的免費(fèi)搭車(chē)。這依然是一個(gè)存在安全隱患的漏洞。最終我上報(bào)了該漏洞，谷歌安全團(tuán)隊(duì)在11個(gè)小時(shí)之后進(jìn)行了采納修復(fù)，我也獲得了$3,133.7的賞金，該漏洞嚴(yán)重程度為危急。

第二個(gè)漏洞：獲取谷歌內(nèi)部相關(guān)憑據(jù)的通知提示信息

Buganizer平臺(tái)的另外一個(gè)讓我覺(jué)得有意思的地方就是其星標(biāo)條目，標(biāo)記為星標(biāo)的條目表示你個(gè)人對(duì)該漏洞問(wèn)題比較關(guān)注，并希望接收Buganizer平臺(tái)上其他人對(duì)該漏洞的一些實(shí)時(shí)評(píng)論。

該功能比較有意思的是，當(dāng)我用它標(biāo)記一些不具備訪(fǎng)問(wèn)權(quán)限的漏洞條目時(shí)，竟然缺少一些錯(cuò)誤提示。這貌似說(shuō)明Buganizer平臺(tái)未采用某些訪(fǎng)問(wèn)控制規(guī)則，于是，我用我的另外一個(gè)賬戶(hù)登錄進(jìn)入Buganizer平臺(tái)，并嘗試通過(guò)替換請(qǐng)求中的issueID來(lái)對(duì)上個(gè)主賬戶(hù)中的某個(gè)漏洞報(bào)告進(jìn)行星標(biāo)標(biāo)記，于是，我看到了以下這條信息，表示標(biāo)記行為成功：

1 person has starred this issue.

這樣就能側(cè)面監(jiān)控一些谷歌漏洞的最新?tīng)顟B(tài)了嗎？于是，我很快對(duì)該星標(biāo)漏洞條目進(jìn)行了評(píng)論，看看我的虛構(gòu)賬戶(hù)是否能收到其狀態(tài)提示通知。但可惜，還是沒(méi)有任何郵件反饋。

由于某種原因，我決定對(duì)此問(wèn)題繼續(xù)進(jìn)行一些深入測(cè)試。所以，我選擇了一個(gè)近期的漏洞條目issueID，并推斷出了Buganizer平臺(tái)上最近數(shù)千個(gè)漏洞條目的ID范圍，然后把它們?nèi)繕?biāo)記為星標(biāo)條目。幾分鐘之后，我的收件箱出現(xiàn)了這些情況：

我想，這應(yīng)該中獎(jiǎng)了吧！但是，仔細(xì)查看后發(fā)現(xiàn)，這些提示郵件中并沒(méi)有太多有價(jià)值的信息，更多的是一些不同語(yǔ)言的評(píng)論和對(duì)話(huà)內(nèi)容。

我希望后期對(duì)此漏洞進(jìn)行一些深入研究，想辦法找出更嚴(yán)重的問(wèn)題，所以，它一直在我手上耽擱了幾個(gè)小時(shí)。但之后，我想谷歌安全團(tuán)隊(duì)?wèi)?yīng)該會(huì)對(duì)該漏洞感興趣吧，于是，我就上報(bào)了該漏洞。最終，谷歌安全團(tuán)隊(duì)以高優(yōu)先級(jí)方式在5小時(shí)之后確認(rèn)了該漏洞，我也因此獲得了$5000賞金。

第三個(gè)漏洞：Buganizer平臺(tái)存在無(wú)訪(fǎng)問(wèn)權(quán)限驗(yàn)證機(jī)制導(dǎo)致可以查看任意上報(bào)漏洞

當(dāng)你作為外部用戶(hù)訪(fǎng)問(wèn)Buganizer平臺(tái)（Issue Tracker）時(shí)，其實(shí)大部分功能是被剝離的，給你的權(quán)限非常有限， 而根據(jù)JavaScript文檔中API服務(wù)端點(diǎn)可以發(fā)現(xiàn)，谷歌內(nèi)部員工可以進(jìn)行很多酷炫操作。這些操作功能對(duì)外部用戶(hù)來(lái)說(shuō)，很多都被完全禁用了，也有一些被簡(jiǎn)單地隱藏在接口之中。

在設(shè)計(jì)這個(gè)對(duì)外部用戶(hù)有功能限制的系統(tǒng)時(shí)，開(kāi)發(fā)者預(yù)留了郵件抄送列表的刪除功能，也就是說(shuō)，如果我們對(duì)某個(gè)漏洞問(wèn)題不感興趣而不需要對(duì)其狀態(tài)進(jìn)行關(guān)注時(shí)，那么該漏洞的狀態(tài)信息將不會(huì)發(fā)送到我們的郵箱中。該抄送列表功能可以通過(guò)以下POST方式來(lái)實(shí)現(xiàn)：

POST /action/issues/bulk_edit HTTP/1.1

{

"issueIds":[

67111111,

67111112

],

"actions":[

{

"fieldName":"ccs",

"value":"test@example.com",

"actionType":"REMOVE"

}

]

}

但是，這種功能的實(shí)現(xiàn)卻導(dǎo)致了嚴(yán)重的問(wèn)題：

不當(dāng)?shù)脑L(fǎng)問(wèn)控制規(guī)則：在嘗試執(zhí)行給定操作之前，對(duì)當(dāng)前用戶(hù)是否具備訪(fǎng)問(wèn)issueID中特定漏洞的權(quán)限無(wú)任何明確檢查行為；

不報(bào)錯(cuò)機(jī)制：如果你提供的郵箱地址不在當(dāng)前漏洞問(wèn)題狀態(tài)的郵件抄送列表中，客戶(hù)端就會(huì)返回一條消息稱(chēng)該郵箱地址被成功刪除；

返回消息中包含了完整的漏洞信息：如果在操作期間沒(méi)有發(fā)生錯(cuò)誤，系統(tǒng)的另一部分服務(wù)就會(huì)假設(shè)當(dāng)前用戶(hù)具備適當(dāng)?shù)牟僮鞴芾頇?quán)限，因此，那些特定ID的漏洞細(xì)節(jié)信息都會(huì)出現(xiàn)在返回的HTTP響應(yīng)內(nèi)容中。

根據(jù)以上存在的三個(gè)問(wèn)題，我現(xiàn)在可以通過(guò)在請(qǐng)求中替換掉issueid來(lái)查看Buganizer平臺(tái)數(shù)據(jù)庫(kù)中每個(gè)漏洞的詳細(xì)信息，超贊！

我只嘗試性地查看了幾個(gè)連續(xù)的漏洞ID，然后用一個(gè)無(wú)關(guān)帳戶(hù)進(jìn)行了驗(yàn)證，確認(rèn)這個(gè)問(wèn)題的嚴(yán)重性。是的，我可以看到漏洞報(bào)告的所有詳細(xì)信息，包括Buganizer平臺(tái)上托管的其他內(nèi)容。更嚴(yán)重的是，我可以在單個(gè)請(qǐng)求中竊取到多個(gè)用戶(hù)憑據(jù)的相關(guān)數(shù)據(jù)內(nèi)容，因此，這樣甚至可以無(wú)限制地實(shí)時(shí)監(jiān)控Buganizer平臺(tái)的所有內(nèi)部活動(dòng)！

我把該漏洞及時(shí)上報(bào)給了谷歌安全團(tuán)隊(duì)，他們?cè)谝恍r(shí)之內(nèi)緊急進(jìn)行了修復(fù)，并禁用了相關(guān)存在漏洞的服務(wù)終端，好快的響應(yīng)速度！我也因此獲得了 $7500的賞金。

后記

當(dāng)我第一次挖掘Buganizer平臺(tái)的信息泄露漏洞時(shí)，我就認(rèn)為這將會(huì)是“谷歌漏洞的圣杯”(Holy Grail of Google bugs)，因?yàn)锽uganizer平臺(tái)本身就是谷歌的漏洞跟蹤管理系統(tǒng)，其一旦存在漏洞，攻擊者就能訪(fǎng)問(wèn)谷歌產(chǎn)品中那些尚未修復(fù)的漏洞信息，進(jìn)一步深入利用這些漏洞，會(huì)對(duì)谷歌自身和全球用戶(hù)造成嚴(yán)重的安全影響。但幸運(yùn)的是，谷歌安全團(tuán)隊(duì)第一時(shí)間就修復(fù)了Buganizer平臺(tái)的漏洞，及時(shí)堵塞了漏洞，化解了風(fēng)險(xiǎn)。