shikata ga nai

Private? There is no such things.

How I was able to see other users Payments in a travel applicationを訳してみた

Hello there, ('ω')ノ

 

旅行アプリケーションで他のユーザーの支払いを確認できた方法を。

 

脆弱性:

 IDOR

 情報開示

 

記事:

 https://haxor8595.medium.com/bugbounty-how-i-was-able-to-see-other-users-payments-in-a-travel-application-idor-800-2060db62cbbe

 

ツール:

 Burp Suite

 

旅行アプリケーションを使用すると、ユーザはホテル/フライトで。

予約を行うことができるので、ユーザが必要な情報を入力すると。

ペイメントゲートウェイにリダイレクトされて。

ユーザが支払いを完了するためのいくつかのオプションがあったので。

クレジットカードオプションを選択して。

Burp Proxyを使用してリクエストをキャプチャすることに。

レスポンスのLocationで、アプリケーションが。

*redacted.comにリダイレクトしていることを確認できて。

 

f:id:ThisIsOne:20211023174501p:plain

 

好奇心から上記のリクエスト本文パラメータのすべての値を変更してみることに。

その中でも「req_reference_number」でブルートフォースを試すと。

他のユーザの支払いを一覧表示することができて。

 

f:id:ThisIsOne:20211023174529p:plain


社会保障番号、パスポート番号、名前、有効なチケットIDなど。

他のユーザの機密情報を表示することができて。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain