价值12500美元的GraphQL漏洞：HackerOne如何意外泄露自家安全专家的邮箱

仅限会员阅读的故事

“那个价值12,500美元的GraphQL故障，暴露了HackerOne自家黑客的邮箱”

Aman Sharma 撰写

5分钟阅读 · 2025年10月31日

在研究API安全漏洞时，我遇到了一个引人入胜的案例：研究员0xrayan1996在HackerOne自家平台上发现了一个严重的信息泄露缺陷。这个漏洞表明，即使是专注于安全的公司，也可能在其GraphQL实现中忽略基本的访问控制检查。

免费链接

漏洞详情：当协作功能泄露私人数据时

问题出在HackerOne的报告协作系统中，具体是SaveCollaboratorsMutation这个GraphQL操作。该功能允许研究人员邀请协作者加入漏洞报告，但在处理邮箱地址时存在一个关键缺陷。

攻击流程：

1. 在HackerOne上创建一个虚拟的漏洞报告
2. 邀请其他研究人员作为协作者
3. 在管理协作者时拦截GraphQL请求
4. 观察到API响应包含了受邀用户的私人邮箱地址——甚至在他们接受协作请求之前

该漏洞允许任何研究人员发现其他HackerOne用户的私人邮箱地址，其中包括顶级黑客和项目……FINISHED

CSD0tFqvECLokhw9aBeRqvYTD3cAv2GUNlJNRecGo+IBSQ1R7ChZ8BwmTtY7QPHKYlL4KZxG6u3Rx/LnehoB9V8msWAbtwgq6DI7qMJw+lal/hRI94Vjxo+xill+REXuXKvLRcbrmd3aEAZ/nD+6oA==