shikata ga nai

Private? There is no such things.

API based IDOR to leaking Private IP address of 6000 businessesを訳してみた

Hello there, ('ω')ノ

 

6000の企業のプライベートIPアドレスをリークするAPIベースのIDORを。

 

脆弱性:

 IDOR

 

記事:

 https://rafi-ahamed.medium.com/api-based-idor-to-leaking-private-ip-address-of-6000-businesses-6bc085ac6a6f


IDORとは?

安全でない直接オブジェクト参照(IDOR)は。

アプリケーションがユーザ指定の入力を使用して。

オブジェクトに直接アクセスするときに発生するアクセス制御の脆弱性の一種で。

 

APIとは?

APIは、Application Programming Interfaceの頭字語で。

2つのアプリケーションが相互に通信できるようにするソフトウェア仲介役で。

Facebookなどのアプリを使用したり。

インスタントメッセージを送信したり。

スマートフォンで天気を確認したりするたびにAPIを使用していて。

 

今回、NDA(Non-disclosure Agreement)プログラムをテストしていて。

Webアプリケーションにユーザのアクセスログを表示する。

オプションがあることに気付いて。


さっそく、インターセプトをオンにして。

Webアプリケーションの閲覧中にブラウザが。

サーバに送信するすべてのリクエストを確認することに。

すると、同じページに再度アクセスすると。

ページの他のコンテンツが既に読み込まれているにもかかわらず。

アクセスログが表示されていないことに気付いて。

 

原因は、インターセプトがオンになっていて。

ユーザのアクセスログを取得しようとしているAPIリクエストが。

インターセプトされていることに気付いて。

 

f:id:ThisIsOne:20210828165738p:plain


さらにPOSTデータを見ると、UserIDが含まれていることが確認できて。

 

f:id:ThisIsOne:20210828165803p:plain

 

次に、Intruderにリクエストを送信して。

ユーザIDをブルートフォース攻撃して、6000の企業のアクセスログを取得できて。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain