链接:https://medium.com/@Sm9l/what-i-learnt-from-reading-220-idor-bug-reports-6efbea44db7
作者认为我们对于IDOR的理解是错误的。IDOR现在的思路不应该像现在的这么窄。
很多人认为,只是找个一个ID,然后改为其他的,然后200成功了,就算是不同用户操作了。但是其实IDOR很广泛。
id的例子:
https://hackerone.com/reports/797685
IDOR不限于账户,也不一定是id。
常见的身份证明文件在哪里
REST APIs 31.8%
GET parameters 25.8%
POST request bodies 21.2%
graphQL endpoints 9.1%
PUT parameters 4.5%
IDs in the request header 3.0%
IDs in the cookies 3.0%
Cookies 中的 id 3.0%
Misc Query langauges 1.5%
IDOR 是一种很简单的漏洞?作者经常听到这种论调,但是IDOR其实是比sql注入,代码注入更有价值。
寻找IDOR 漏洞注意的点
1.找不到不是增量的ID? 可以在页面或者资产中找到ID
例子:
https://hackerone.com/reports/404797
在 twitter 页面的源代码中可以找到一个 ID:
https://hackerone.com/reports/181748
2.找不到明文的ID?
https://hackerone.com/reports/1291721
3.可以用URL直接访问文件资源,不需要事先验证码?
https://hackerone.com/reports/94790,还有258260,230328,230870,126861等等
例子:图片通常容易遭到攻击
https://hackerone.com/reports/258260
4.是否可以被绕过,寻找那些保护少的网站
https://hackerone.com/reports/876300 和 715054,271393
例子:
主站点的一些替代站点可能包含在主站点中修补的漏洞。尝试不同的区域顶级域名,或不同的 api
https://hackerone.com/reports/876300
5.尝试改变请求的方法
https://hackerone.com/reports/204984和199321, 297751
例子:
https://hackerone.com/reports/199321
6.有些IDs实际上不是数字,而是字符串。
https://hackerone.com/reports/262661和152407, 587687
例子:
https://hackerone.com/reports/152407
IDOR的危害
IDOR是获得最高优先权账户接管的最简单的方法。
1.是否泄露PII?
https://hackerone.com/reports/293490和980511, 723461, 668439, 783708, 439729, 152407)
例子:泄露了全部用户的电子邮件
2.绕过付款
3.你可以对别人的资产做动作么?
https://hackerone.com/reports/1005020和725569,258260
4.你可以损坏任何资产或者信息么?
https://hackerone.com/reports/156537和264754, 153905, 120115
Pxiaoer's Blog 
[…] Day066:漏洞报告学习之 What I learnt from reading 220* IDOR bug reports. […]
赞赞