【$6000】繞過Apple SSO

背景介紹：

今天的分享來自Stealthy白帽子，這位20歲的白帽小伙子，從2018年起就開始從事漏洞懸賞工作，他的大部分時間都在HackerOne上，并且專門研究Web應用程序漏洞。

漏洞介紹：

漏洞存在于蘋果的如下站點：

https://rampadmin.apple.com

蘋果公司的單點登錄通過IDMS身份驗證來保護站點，該應用程序會阻止對網站的訪問，然而，仍有一些信息可被利用。

通過目錄遍歷，白帽小哥很快發現了一處URL：

https://rampadmin.apple.com/admin

除這一個站點外，所有站點和目錄都受到身份驗證保護，admin 目錄中的健康站點檢查對公共用戶是可見的。

https://rampadmin.apple.com/admin/* → 需要 302 SSO 身份驗證https://rampadmin.apple.com/admin/healthcheck → 200 OK

因此，使用 Apache 的冒號路徑遍歷技術，即可以繞過訪問控制查看 admin 目錄中的文件。

https://rampadmin.apple.com/admin/data/existing_UAT_DS_App_Ids.json → 需要 302 SSO 身份驗證https://rampadmin.apple.com/admin/healthcheck/..;/data/existing_UAT_DS_App_Ids.json → 200 OK

這是由于錯誤配置，后端將URL/..;/格式化成了/../

而關于這個漏洞的成因及詳細信息，大家可以查閱Google的這個PPT（需FQ）。

https://docs.google.com/presentation/d/1dYmdqZh-8JJ-FV20dtAz4VTLshDNBIhpGvfr4xv0OiA/edit#slide=id.g53f0d66d2e_0_141

漏洞影響：

白帽小哥通過該漏洞可以訪問到一些文件，這些文件披露了Apple公司內部系統的內部架構管理信息，包括存在哪些系統、它們的名稱和相關ID以及系統描述信息。

當然，Apple公司迅速修復了這個漏洞，并為白帽小哥支付了6000美元的漏洞賞金。