多伦多大学GenAI Genesis 2025黑客马拉松:一个意外发现的漏洞
2025-03-20
一位多伦多大学的学生在参加GenAI Genesis 2025黑客马拉松报名时,意外发现了一个漏洞。由于密码管理器未保存密码,他重置密码后,注意到重置密码链接指向Firebase应用。出于好奇,他尝试了一些常见的Firebase漏洞利用方法,最终发现网站在更新应用状态时,直接写入整个应用对象,而非只更新必要字段。通过利用这个漏洞,他成功地将自己的申请状态修改为“已接受”。此外,他还发现该网站存在信息泄露漏洞,可以提前查看审核结果、评审员信息和评论等敏感信息。该漏洞已得到修复。
阅读更多
开发