Hello there, ('ω')ノ
リクエストパラメータによって制御されるユーザIDを。
ユーザアカウントページに水平方向の特権昇格の脆弱性があるらしく。
まずは、ログインして。
Keyが表示されて。
各リクエスト内容を確認してもアカウントを識別するパラメータは見当たらず。
インターセプトをオンにして、一つ一つリクエストを確認しても見当たらず。
My accountをクリックすると。
アカウントを識別するパラメータが。
idをcarlosに変更して。
表示されたKeyをコピーして。
Keyを入力して。
クリアできた。
Best regards, (^^ゞ