大家好，今天这篇文章是关于Youtube的两个漏洞，特别是Youtube工作室平台(https://studio.youtube.com/)的漏洞。通过所涉及的视频id和频道id，作者可以修改任何Youtube视频的属性，并获得相关用户的私人频道视频。

Youtube工作室平台是一个全新的创作中心，用户可以在其上轻松管理Youtube账户、上传视频、促进频道开发和与观众互动。该平台具有多种酷功能，包括查看视频分析数据、更改社区和频道相关设置以及批量视频更新。

一、更改任意Youtube视频的设置信息

当您访问Youtube工作室主页时，您可以在左侧看到一个菜单栏列表，其中有一个名为“视频”的菜单。点击它将弹出您在Youtub上上传或编辑的所有视频，如下所示:

如果您是视频制作人，您希望一次对所有视频进行批量更改，例如，向视频描述添加合作伙伴链接，向标题添加标签或将视频设置为私有等。然后，这里有一个函数可以实现这个操作。首先，选择要编辑的视频，然后工具栏将出现在视频栏上方的黑色区域。在“修改”按钮下，有“标题”、“描述”、“标签”、“公共范围”和“注释”等属性需要修改。根据不同类别进行选择和修改后，右侧会出现一个“更新视频”按钮，点击完成视频属性的更改。

点击“更新视频”按钮后，将向Youtube服务器https://工作室触发开机自检请求。YouTube。请求体是JSON格式代码，JSON内容包括各种视频属性和配置参数。然而，其中一个参数引起了我的注意，即名为“视频”的参数，它由包含视频标识的视频标识数组表示。经过如下分析:

之后，我发现没有验证或保护措施来确保这些视频标识实际上对应于用户实际发起更改的视频，也就是说，我可以通过更改这些视频标识来更改任何Youtube视频的属性。

该漏洞的影响仍然相对较大。例如，我可以将某些频道的视频设置为私有，并间接关闭频道，导致视频无法公开观看，从而导致粉丝流失。当然，也可以在一些流行视频的描述中添加一些内容或链接来推广一些网站或产品。此外，一些投机者甚至在一些点击率很高的视频中添加了与他们账户相对应的“奖励”功能来赚取零花钱。以下是此漏洞的概念验证:

漏洞升级过程

演示视频

2018.11.11漏洞升级

2018.11.12漏洞分类-被评为“好漏洞”的“好陷阱”

2018.11.13漏洞奖励

2018.11.13漏洞修复

这是一个逻辑漏洞，因为攻击者可以使用它获取目标Youtube用户未列出的播放列表。在任何时候，当Youtube用户想要在工作室平台上编辑和发布视频时，他们需要点击视频，然后会弹出一个发布和编辑窗口，如下所示:

二、获取任意Youtube用户私享播放资源列表

当窗口打开时，对Youtube工作室服务的开机自检请求将在后台启动:https://工作室。YouTube。com/youtubei/v1/creator/list _ creator _ playlist endpoint

作为其链接方式，它将提取与当前视频相对应的登录用户信息，并且该请求的目的是从其相应的编辑窗口中丰富播放列表的相关信息。

此外，请求也是JSON格式的，它包含对应于频道名称的信道化参数，该参数指示对应于当前编辑的视频的频道。经过研究，我发现Youtube没有在信道化参数值和用户身份之间采取必要的验证措施。

通过Youtube返回的响应消息发现，当某个频道满足一个条件时:只有两个播放列表，PUBLIC和UNLISTED，我们可以利用此漏洞获取其所有播放列表资源。

如果目标Yutube用户满足上述条件，攻击者可以利用此漏洞获取任何Yutube用户的任何未列出视频。由于私人视频不会出现在YouTube搜索结果或频道网页中，只有有链接的用户才能观看，因此此漏洞是一个与隐私相关的漏洞。(YouTube为用户提供了第三个“未列出”的视频隐私选项，方便用户私下与朋友分享视频。隐私选项设置为“未列出”的视频不会出现在YouTube搜索结果、频道网页或用户配置文件中，只有有链接的用户才能观看“未列出”的视频。)

漏洞升级流程

2018.11.12漏洞升级

2018.11.13漏洞分类

2018.11.14评估为“好漏洞”的“好陷阱”

2018.11.30漏洞奖励

2018.12.12漏洞修复

在我的黑客谷歌体验中，我试图分析不同功能点的安全性，也学到了很多经验。这两个漏洞应该共享，希望每个人都能得到一些东西。

*参考资料来源:媒体，云编译，从FreeBuf传输