写点什么

星巴克新加坡站 6000 美元账户接管漏洞:IDOR 漏洞详解

作者:qife
  • 2025-08-05
    福建
  • 本文字数:672 字

    阅读完需:约 2 分钟

星巴克新加坡站 6000 美元账户接管漏洞:IDOR 漏洞详解

侦查阶段

在浏览星巴克新加坡站时,我注意到一个页面加载了来自第三方站点(暂称为 example.com)的内容。调查该站点时,我在 example.com/starbucks 目录下发现了与 card.starbucks.com.sg 相同的登录页面。此时有两种可能性:


  1. 该应用可能是 card.starbucks.com.sg 的开发和测试环境

  2. 或者是已废弃的旧测试环境


这两种可能性都增加了存在漏洞的概率。为验证环境关联性,我在生产环境创建账户后成功用该账户登录了测试环境,证明两个应用使用相同的认证机制。

漏洞利用

在测试环境发现了一个生产环境不存在的端点,其 POST 数据格式为:


email=hacker@hacker.com
复制代码


当输入目标邮箱时,可以在个人页面看到该账户的部分信息。虽然此时尚无法完全接管账户(由于测试环境生成的 CSRF 令牌无效导致密码修改失败),但通过将测试环境的 PHPSESSID cookie 复制到生产环境后,成功获取了完整账户权限。

漏洞影响

攻击者不仅可以查看用户所有个人信息和完全接管账户,如果账户内有充值余额,还可以通过移动应用在星巴克门店消费。

漏洞链扩展

在 example.com 上还发现了另外两个测试环境(starbucks2 和 starbucks3)。通过以下攻击链实现了账户接管:


  1. 在 starbucks3 用受害者邮箱创建测试账户(写入 testusers 表)

  2. 在 starbucks2 将测试账户与攻击者账户关联(在 testusers 表中绑定 PHPSESSID 和邮箱)

  3. 将 PHPSESSID 复制到生产环境接管真实账户

时间线

  • 5 月 17 日:提交漏洞报告

  • 5 月 18 日:进入处理流程

  • 5 月 20 日:获得 4000 美元赏金

  • 6 月 17 日:获得 1.5 倍乘数奖励 2000 美元


原始漏洞报告更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)公众号二维码


办公AI智能小助手


用户头像

qife

关注

还未添加个人签名 2021-05-19 加入

还未添加个人简介

评论

发布
暂无评论
星巴克新加坡站6000美元账户接管漏洞:IDOR漏洞详解_漏洞挖掘_qife_InfoQ写作社区