大家好,今天我想分享一个有趣的黑客技巧,就是你可以利用Virus Total来获取某些公司的机密信息。
什么是Virus Total?
Virus Total是整合了众多杀毒产品的在线病毒扫描引擎,以供用户发现一些自己的防护软件不能查杀的病毒,或对一些可疑的病毒报警进行二次验证。同时,防病毒软件制造商也可以了解到那些是自己的杀毒引擎不报警,而其他杀毒引擎报警的恶意文件,以帮助其改进产品。最后,这也会提升VirusTotal整体的查杀能力。另一方面,用户还可以输入相关URL来搜索VirusTotal的识别数据集。(维基百科)
从以上描述,我们知道该网站允许用户提交一个文件或URL,由数十个防病毒引擎进行扫描。但是,这个此功能存在一个严重的缺陷:任何用户的提交操作都被存储下来,而且任何人都可以访问这个存储记录。
用户提交可疑文件的记录被其他人访问当然不是问题,因为用户无法直接下载恶意软件。然而,对于用户提交的可疑URL,任何用户却都可以直接看到。
如果你经常上Hackerone,也许你还记得mohammed__fayez提交的这份报告( https://hackerone.com/reports/378122 )。他发现Hackerone的用户提交了一个包含敏感令牌的链接。由于任何人都可以看到被扫描的URL,所以任何人都可以看到敏感令牌,并非法使用它。
我们到底能找到什么?
基于Hackerone的那个黑客报告,我决定在其他公司的网站上试试同样的方法,看能发现什么。
Discord:
如果你使用Discord网站,那你肯定知道在12月发起的“Discord Gift”计划。Discord的这个福利计划允许用户付款购买礼物并赠送给联系人。为了实现这个功能,Discord使用了一个特定的域名:discord.gift
那么让我们检查一下 Virus Total:
以上这些链接可以让你获得某个用户已经支付过的礼物。当然,图片里的这些URL都已经被使用了。如果你利用这个方法找到了一个有效URL,请遵守规则,不要违法使用(有人会因此承受经济损失!)
某个随机网站:
在接下来的部分,我将以不披露网站名称的方式说明我发现的问题。
令牌泄露:
大多数情况下,您会发现某些网站用户的敏感令牌信息:
公司机密:
令牌泄漏一般只会影响个别用户。公司的敏感信息泄露带来的影响无法评估,如商业战略、内部子域名等。
结论
Virus Total确实是一个真正伟大的工具,它能免费用多个杀毒引擎扫描你的软件。但是,你应该小心使用它,以避免泄露任何敏感信息。
如果你是漏洞猎人,我强烈建议把Virus Total加入你的侦察范围。这个网站也许可以成为你的金矿!
如果你是大公司,定期检查Virus Total上有关你公司的数据,确保没有任何敏感信息泄露。
希望你喜欢这篇文章!
来源:Virus Total:泄露你公司机密的“最佳”途径
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
