特斯拉是一家非?岬墓,由PayPal的Elon Musk與SpaceX投資創(chuàng)建。該公司設(shè)計、生產(chǎn)并銷售下一代電動汽車,以緩和全球變暖問題和提高生活質(zhì)量。
我非常喜歡這家公司,因此當?shù)弥麄儐恿艘豁?ldquo;安全響應(yīng)開放計劃”后,我決定嘗試一下。
特斯拉的官網(wǎng)使用了應(yīng)用廣泛的Drupal程序,并安裝了大量插件,安全性非常高。刺探了幾個小時之后,只找到了一些XSS漏洞(其中兩個非常難利用),而且比較容易利用的一個注入點也不是Drupal腳本引起的,而是由評論中的外鏈引起的。
進入特斯拉網(wǎng)站的design studio。這是一個非常棒的定制工具,使用戶可以在下單前定義自己想要的特斯拉的樣子。同時它也給用戶一個選項,為用戶生成一個的URL,使其可以與其它人共享自己的創(chuàng)作,特斯拉會將這個的URL傳入一個自定義的短網(wǎng)址生成器中。我正是在這個短網(wǎng)址生成器中發(fā)現(xiàn)了一處SQL注入漏洞,給了我進入特斯拉后臺數(shù)據(jù)庫的機會,包括訪問所有在線用戶記錄以及用admin登錄網(wǎng)站的權(quán)限。
在測試過程中,我注意到根據(jù)輸入一些不同的、被引號括起來的字符串,該腳本的反應(yīng)也不太一樣。經(jīng)過一段時間的嘗試,終于成功得到一個盲注語句:' + sleep(10) + ',如下圖所示:
特斯拉的反應(yīng)值得贊賞,他們向我索取了一些技術(shù)細節(jié)和一份利用漏洞的python腳本(我必須將sleep函數(shù)換成benchmark函數(shù)以終止被掛起的查詢,但是不確定在他們那里是不是有效)。
漏洞很快被補上了。特斯拉負責安全的小伙伴們非常友好謙遜,我個人也很喜歡和他們一起愉快地玩耍。