【$6000】绕过Apple SSO

背景介绍：

今天的分享来自Stealthy白帽子，这位20岁的白帽小伙子，从2018年起就开始从事漏洞悬赏工作，他的大部分时间都在HackerOne上，并且专门研究Web应用程序漏洞。

漏洞介绍：

漏洞存在于苹果的如下站点：

https://rampadmin.apple.com

苹果公司的单点登录通过IDMS身份验证来保护站点，该应用程序会阻止对网站的访问，然而，仍有一些信息可被利用。

通过目录遍历，白帽小哥很快发现了一处URL：

https://rampadmin.apple.com/admin

除这一个站点外，所有站点和目录都受到身份验证保护，admin 目录中的健康站点检查对公共用户是可见的。

https://rampadmin.apple.com/admin/* → 需要 302 SSO 身份验证https://rampadmin.apple.com/admin/healthcheck → 200 OK

因此，使用 Apache 的冒号路径遍历技术，即可以绕过访问控制查看 admin 目录中的文件。

https://rampadmin.apple.com/admin/data/existing_UAT_DS_App_Ids.json → 需要 302 SSO 身份验证https://rampadmin.apple.com/admin/healthcheck/..;/data/existing_UAT_DS_App_Ids.json → 200 OK

这是由于错误配置，后端将URL/..;/格式化成了/../

而关于这个漏洞的成因及详细信息，大家可以查阅Google的这个PPT（需FQ）。

https://docs.google.com/presentation/d/1dYmdqZh-8JJ-FV20dtAz4VTLshDNBIhpGvfr4xv0OiA/edit#slide=id.g53f0d66d2e_0_141

漏洞影响：

白帽小哥通过该漏洞可以访问到一些文件，这些文件披露了Apple公司内部系统的内部架构管理信息，包括存在哪些系统、它们的名称和相关ID以及系统描述信息。

当然，Apple公司迅速修复了这个漏洞，并为白帽小哥支付了6000美元的漏洞赏金。