最新H1越权漏洞披露，获得15000美元奖励

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。博客新域名：https://gugesay.com不想错过任何消息？设置星标↓ ↓ ↓背景介绍HackerOne （以下简称H1）平台今日披露了自己平台的一个严重级漏洞，该漏洞允许攻击者通过摘要编辑功能未授权访问他人附件。该漏洞于今年3月30日上报，于今日被H1公开披露，H1为该漏洞向白帽黑客支付了$15,000的赏金奖励，该漏洞作为漏洞赏金猎人的学习/参考材料非常有用，对于开发人员来说：通过学习该漏洞的发现来尽量开发安全的应用程序也是非常有用的。漏洞披露通过操纵请求中的附件 ID，攻击者可以查看本应受到限制的敏感文件，核心问题是不安全的直接对象引用 (IDOR) 漏洞 (CWE-639)，在编 ………………………………