shikata ga nai

Private? There is no such things.

How I found my first IDOR in HackerOneを訳してみた

Hello there, ('ω')ノ

 

HackerOneで最初のIDORを見つけた方法を。

 

脆弱性:

 IDOR

 

記事:

 https://n1ghtmar3.medium.com/how-i-found-my-first-idor-in-hackerone-5d5f17bb431

 

通常、すべてをテストしてBurp Suiteに渡すときに、2つのアカウントを作成して。

そして、最後にヌルバイトを使用して。

同じユーザ名で両方を作成してみたものの何も機能せず。

 

そこで、[HTTP履歴]タブを使用してユーザIDを持つすべてのリクエストを検索して。

オプションから[Match and Replace]を使用して。

最初のアカウントのユーザIDを2番目のアカウントのユーザIDに変更して。

200 OKの応答が返されるかどうかを確認することに。

これは、IDORを見つける簡単な方法で。

 

f:id:ThisIsOne:20210917182538p:plain

 

残念ながら、この方法はうまくいかず。

次に、アップロードの脆弱性を探してみると。

ユーザが正当な顧客であることを確認するために。

支払い領収書をアップロードする必要があるオプションがあったので。

アップロードした画像のURLを確認したところ。

下記のような単純な数値のID値があって。

 https://target.com/attachments/registrations/{numerical_value}/proof_of_purchases/view /original

 

そこで、すぐに2番目のアカウントから別の写真をアップロードして。

1番目のアカウントとBoOmを使用して2番目のアカウントのURLを表示しようとしました。

より大きな影響を示すために、Intruder に{numerical_value}をブルートフォースして。

200の応答すべてに顧客の署名、paypalアドレス、自宅の住所などが含まれていて。

 

次に、下記のレポートを読んで。

画像メタデータが適切に処理されているかどうかを確認することに。

 https://hackerone.com/reports/906907

 

f:id:ThisIsOne:20210917183428p:plain

 

なので、下記のリポジトリから写真をダウンロードし手アップロードすることに。

 https://github.com/ianare/exif-samples/tree/master/jpg/gps

 

アップロードした画像をURLからダウンロードして。

ExifToolを使用してメタデータが削除されたことを確認したものの。

 https://exiftool.org/

 

f:id:ThisIsOne:20210917183808p:plain

 

GPSの位置がまだ存在していたので、何も削除されてなくて。

 

f:id:ThisIsOne:20210917182612p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain