漏洞挖掘365天挑战——Day066:漏洞报告学习之 What I learnt from reading 220* IDOR bug reports.

链接:https://medium.com/@Sm9l/what-i-learnt-from-reading-220-idor-bug-reports-6efbea44db7

作者认为我们对于IDOR的理解是错误的。IDOR现在的思路不应该像现在的这么窄。

很多人认为,只是找个一个ID,然后改为其他的,然后200成功了,就算是不同用户操作了。但是其实IDOR很广泛。

id的例子:


https://hackerone.com/reports/797685

IDOR不限于账户,也不一定是id。

常见的身份证明文件在哪里

REST APIs 31.8%

GET parameters 25.8%

POST request bodies 21.2%

graphQL endpoints 9.1%

PUT parameters 4.5%

IDs in the request header 3.0%

IDs in the cookies 3.0%

Cookies 中的 id 3.0%

Misc Query langauges 1.5%

IDOR 是一种很简单的漏洞?作者经常听到这种论调,但是IDOR其实是比sql注入,代码注入更有价值。

寻找IDOR 漏洞注意的点

1.找不到不是增量的ID? 可以在页面或者资产中找到ID

例子:

https://hackerone.com/reports/404797

在 twitter 页面的源代码中可以找到一个 ID:

https://hackerone.com/reports/181748

2.找不到明文的ID?

https://hackerone.com/reports/1291721

3.可以用URL直接访问文件资源,不需要事先验证码?

https://hackerone.com/reports/94790,还有258260,230328,230870,126861等等

例子:图片通常容易遭到攻击

https://hackerone.com/reports/258260

4.是否可以被绕过,寻找那些保护少的网站

https://hackerone.com/reports/876300 和 715054,271393

例子:

主站点的一些替代站点可能包含在主站点中修补的漏洞。尝试不同的区域顶级域名,或不同的 api

https://hackerone.com/reports/876300

5.尝试改变请求的方法

https://hackerone.com/reports/204984和199321, 297751

例子:

https://hackerone.com/reports/199321

6.有些IDs实际上不是数字,而是字符串。

https://hackerone.com/reports/262661和152407, 587687

例子:

https://hackerone.com/reports/152407

IDOR的危害

IDOR是获得最高优先权账户接管的最简单的方法。

1.是否泄露PII?

https://hackerone.com/reports/293490和980511, 723461, 668439, 783708, 439729, 152407)

例子:泄露了全部用户的电子邮件

PII leak
https://hackerone.com/reports/293490

2.绕过付款

Payment bypass
https://hackerone.com/reports/391092
payment bypass payout
https://hackerone.com/reports/391092

3.你可以对别人的资产做动作么?

https://hackerone.com/reports/1005020和725569,258260

4.你可以损坏任何资产或者信息么?

https://hackerone.com/reports/156537和264754, 153905, 120115

漏洞挖掘365天挑战——Day066:漏洞报告学习之 What I learnt from reading 220* IDOR bug reports.”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s