shikata ga nai

Private? There is no such things.

A Simple IDOR which should not be missed on dating Appを訳してみた

Hello there, ('ω')ノ

 

デートアプリで見逃してはならないシンプルなIDORを。

 

脆弱性:

 IDOR

 情報開示

 

記事:

 https://nvermaa.medium.com/a-simple-idor-which-should-not-be-missed-on-dating-site-c500cba8e6c3

 

どのようにしてidorを見つけたかを確認することに。

idorのエンドポイントを特定するのは非常に簡単でしたが。

それを受け入れられるようにする方法は重要で。

 

この出会い系アプリは、乱数に基づいてユーザの詳細を表示していて。

他のユーザの詳細が表示されているかどうかを確認する必要があって。

多くのAPIエンドポイントでこのような問題が発生していたものの。

それらのほとんどは公開された情報を表示していて。

 

最後に、ユーザの詳細リストを表示できる興味深いエンドポイントを見つけたので。

応答を確認した後、ユーザのプロファイル名、年齢、都市など。

すでに公開されているユーザに関する多くの情報が表示されていて。

そして、POCに示されているような面白いものをみることに。

 

ユーザ1では、現在ログインしているユーザの詳細である応答として。

未読メッセージ、通知、新規訪問などの一部が表示されていることがわかって。


ユーザ1:

f:id:ThisIsOne:20211105183914p:plain

 

ここで、ヒット&トライでエンドポイントの最後の2桁のIDを。

12から6に変更すると他のユーザの詳細も表示できて。


ユーザ2:

f:id:ThisIsOne:20211105183933p:plain

 

ユーザ3の例:

f:id:ThisIsOne:20211105183956p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain