Shikata Ga Nai

Private? There is no such things.

Bypass Apple Corp SSO on Apple Admin Panelを訳してみた

Bug Bounty

Hello there, ('ω')ノ

 

Apple 管理パネルで Apple Corp SSO をバイパスするを。

 

脆弱性:

 パストラバーサル

 

記事:

 https://medium.com/@StealthyBugs/bypass-apple-corp-sso-on-apple-admin-panel-dbfb72c7e634

 

今回の脆弱性は次の Apple ホストで発生して。

 

 https://rampadmin.apple.com

 

Apple の企業シングル サインは、IDMS 認証アプリを介してホストを保護し、

Web サイトへのアクセスをブロックし。

ただし、一部の情報はまだ入手可能で。

 

コンテンツディスカバリーを使用して、

下記のディレクトリが存在することを明らかに。

 

 https://rampadmin.apple.com/adminest

 

ただし、1 つを除くすべてのエンドポイントとディレクトリ自体は

認証によって保護され。

管理ディレクトリ内のヘルス チェック エンドポイントは、

一般ユーザに表示されて。

 

     https://rampadmin.apple.com/admin/* ⇨ 302 SSO 認証が必要

     https://rampadmin.apple.com/admin/healthcheck ⇨ 200 OK

 

そこで、Apache のコロン パス トラバーサル手法を使用すると、

アクセス制御ルールをバイパスし、admin ディレクトリ内のファイルを表示でき。

 

https://rampadmin.apple.com/admin/data/existing_UAT_DS_App_Ids.json

⇨ 302 SSO 認証が必要
  https://rampadmin.apple.com/admin/healthcheck/..;/data/existing_UAT_DS_App_Ids.json

⇨ 200 OK

 

これは、バックエンドで URL パスを正規化し、 /..;/ /../ に変換する

構成ミスにより機能して。

この種の構成ミスの詳細については、これらのスライドを

まだ確認していない場合は確認してみて。

 

影響:

Apple の内部システムの内部アーキテクチャに関する管理情報を

開示するファイルにアクセスして。

これらのファイルには、どのようなシステムが存在するか、

その名前と関連する ID、およびシステムの説明に関する情報が含まれていて。

 

Best regards, (^^ゞ