逻辑漏洞之皇帝的新衣

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=MzkxNjc0ODA3NQ==&mid=2247484056&idx=1&sn=a9e16c53606bd1cea08b46898a9fd5e2

逻辑漏洞之皇帝的新衣

原创 漏洞集萃 漏洞集萃 2025-07-11 00:58

重要声明 

本公众号内容仅限技术交流与学习研究,旨在提升网络安全认知。

严禁用于任何非法用途!因滥用信息造成的任何后果,由使用者自负,与本公众号无关。

文中所述观点、提及公司或技术仅为客观引用,不代表本公众号立场。

引言

我在文中使用了 

[REDACTED]

来代替平台的真实名称,因为这个漏洞是通过其漏洞赏金计划(bug bounty program)以负责任的方式披露的,但该平台从未公开过这份报告。出于对他们披露政策的尊重——同时也是为了避免在其他平台上引发类似的滥用行为——我在这里隐去了平台的名称。

逻辑漏洞之皇帝的新衣

尽管这个漏洞后来被修复了,但官方从未公开承认过,因此我只透露有限的细节,以保护该平台和整个(披露)流程的完整性。

在研究 

[REDACTED]

平台如何处理用户互动时,我发现了一个漏洞,用户可以在创作者发布的内容下留言,然后立刻拉黑创作者——这会导致这条评论对创作者本人隐形,但对其他所有用户却依然可见。

没错,创作者完全看不到这条评论。无法审核、无法回复,什么都做不了。

🔍 我是如何发现的

我的测试步骤如下:
账户 A:
 发布一篇帖子

  • 账户 B(攻击者):
     在该帖子上发表评论

  • 账户 B:
     立即拉黑账户 A

  • 账户 A:
     检查评论区——结果看不到账户 B 的那条评论

  • 账户 C:
     查看同一篇帖子——结果能正常看到那条评论

这实际上就允许了攻击者留下一些创作者本人无法发现、也无法管理的评论。

这个漏洞为什么很严重

这个漏洞能让别有用心的人做到:
– 留下辱骂性、垃圾广告或误导性的评论

  • 然后拉黑创作者

  • 并让这条评论变得无法被审核或删除

创作者们对此一无所知。他们看不到,无法回应,最重要的是——无法删除它。

这就好比有人在你家的墙上肆意涂鸦,然后又施了法让你看不见,但街坊四邻却都能看得一清二楚。

报告时间线

  • 2021年5月5日
     —— 提交报告

  • 2021年5月25日
     —— 安全团队进行分类处理

  • 2021年6月2日
     —— 获得赏金 💰

  • 2021年8月26日
     —— 标记为已解决 ✅

  • 同一天
     —— 我回复了一个新的绕过方法

  • 2022年7月18日
     —— 在修复了第二个绕过方法后,再次确认为已解决

觉得本文内容对您有启发或帮助?

点个关注➕
,获取更多深度分析与前沿资讯!

====本文结束====

以上内容由漏洞集萃翻译整理。

参考:

https://medium.com/@sandipgyawali/the-bug-that-let-users-hide-comments-from-creators-and-i-bypassed-the-fix-the-same-day-e7b95c1ae3b2