Shikata Ga Nai

Private? There is no such things.

Oauth client secret leak and possible IDOR leading to PII Disclosureを訳してみた

Hello there, ('ω')ノ

 

OAuthクライアントのシークレットリークとPII開示につながる可能性のあるIDORを。

 

脆弱性:

 IDOR

 OAuthの欠陥

 情報開示

 

記事:

 https://pmoc.netsoc.cloud/oauth-idor-pii/

 

ツール:

 getallurls (gau)

 Burp Suite

 

重要度:

 重大

 

Oauthログイン用のページをoauth.example.comと呼ぶことに。

「ユーザー名の回復」ページで、環境変数のように見えるものを含む。

Javascriptファイルに気づいて。

 

f:id:ThisIsOne:20210930110615p:plain


POSTリクエストを作成して、アクセストークンを生成することができると。

このJSファイルにはapi.example.comというサブドメインが含まれていたので。

このサブドメインをGauにプッシュして、いくつかのエンドポイントを返すことで。

いくつかのサイト固有のID値が得られたので。

 

 https://github.com/lc/gau

 

f:id:ThisIsOne:20210930112059p:plain


次に、Burp Suiteを開いてIntruderを起動して。

新しく見つかったアクセストークンを使用して。

前述のIDで、エンドポイントをテストすると。

アクセストークンで、顧客情報にアクセスできるようになって。

これらのエンドポイントから収集されたデータを使用して。

APIを広範囲にテストすると。

エンドポイントのウィジェットは。

特定の組織のユーザのリスト全体をリークして。

また、テストするエンドポイントについては、Githubを調べて。

 

下記は、リークの内容で。

 Full Names
 Usernames
 Email Addresses
 Phone Numbers
 Employee IDs
 Job Titles
 Login Timestamps

 

/meエンドポイントは次のメッセージを返して。

 User '<system>' does not fall under the requested users hierarchy.

 '<system>'ユーザは、要求されたユーザ階層に分類されません。


IDパラメータのIDORが原因で顧客情報にアクセスできたのか。

<system>ユーザに特別な権限が与えられたのかは不明ですが。

ID値が公開されていることを考えると。

非常に的を絞った方法で任意の顧客情報を列挙することが可能で。

 

Best regards, (^^ゞ