Non-secure Requests Are not Automatically Upgraded to HTTPS http-headers
Các HTTP request gửi đến hackerone.com không được tự động upgrade lên HTTPS. Do hackerone.com sử dụng HSTS preload. Tại thời điểm report được submit, một số browser chưa implement tính năng HSTS nên có thể connection sẽ không thông qua HSTS.
Cụ thể, khi gửi HEAD request đến http://hackerone.com, server không instruct browser để upgrade connection lên HTTPS và trả về response có status code 200 thay vì 301 với Location là https://hackerone.com.
Để exploit, attacker cần:
- Ở trong cùng network với victim để có thể sniffing.
- Trick victim mở http://hackerone.com trong trình duyệt mà không có
hackerone.comở trong preload list.
Missing Robots Exclusion Header for User Uploads http-headers
Khi user upload text file lên platform thì nó có thể được linked bởi các external website và dẫn đến là xuất hiện trong các search engine thông qua dorking chẳng hạn như site:*.irccloud-cdn.com ext:txt.
Application không hoàn toàn có thể ngăn chặn điều này nhưng có thể sử dụng header X-Robots-Tag để chặn các crawlers.
Lack of Rate Limiting on Account Creation Endpoint rate-limit
Chức năng tạo tài khoản không có rate limit và impact có thể là:
- Database overload
- Server overload
- Abuse: sử dụng tài khoản giả để spam, phishing, …
Tip
Mặc dù report này ban đầu bị đánh là N/A nhưng attacker đã comment và bảo rằng bug này được nhiều công ty chấp nhận và đưa ra 2 report để dẫn chứng: Courier | Report #905692 - Missing rate limit in signup Form | HackerOne và Nextcloud | Report #922470 - No rate limiting on sinup page | HackerOne.
Sau một thời gian kiên trì hỏi han tình hình thì staff của program đã chấp nhận bug này.
No SPF/DMARC Records on mb-cosmos.com bad-practices
Attacker có thể gửi email sử dụng mb-cosmos.com làm domain do nó không có SPF (Sender Policy Framework) và DMARC (Domain-based Message Authentication, Reporting & Conformance) records.
Để reproduce, attacker sử dụng https://emkei.cz/ làm dịch vụ spoofing và sử dụng security@mb-cosmos.com làm sender email. Khi gửi email, nhận thấy rằng email được gửi từ domain hợp lệ. Kiểm tra lại bằng cách check SPF/DMARD records của domain này và xác nhận là không có các records nêu trên.