shikata ga nai

Private? There is no such things.

Privilege Escalation by Changing HTTP Response (Admin Access)

Hello there, ('ω')ノ

 

HTTP応答の変更による特権の昇格(管理者アクセス)

 

脆弱性:

 特権の昇格

 

記事:

 https://medium.com/@bachrudinashari/privilege-escalation-by-changing-http-response-admin-access-5e67c44713f6

 

ツール:

 Burp Suite

 

ターゲットは、インドネシアの市場で。

ターゲットをRedacted.comと呼ぶことに。

ターゲットにはWebサイトがほとんどなくて。

シングルサインオン(SSO)を使用してWebサイトにログインして。

 

シングルサインオン(SSO)は。

ユーザが1セットのログインクレデンシャルを使用して。

複数のアプリケーションまたはWebサイトにアクセスできるようにする。

セッションおよびユーザ認証サービスで。

 

さっそく、redacted.comに登録して登録を完了して。

プロファイルに移動してBurp Suiteでこのリクエストをインターセプトして。

HTTP応答を確認すると。

HTTP応答に“is_admin”:falseパラメータが見つかり、注意を引くことに。

 

次に、Sublist3rを使用してサブドメインの列挙を行うと。

admin.redacted.comを見つけて。

admin.redacted.comにログインするには資格情報が必要ですが。

WebサイトがSSOを使用してユーザを認証していることを認識しているので。

admin.redacted.comにアクセスして、このリクエストをインターセプトして。

 “is_admin”:false

 ⇩

 “is_admin”:true

に変更すると管理者としてのログインに成功したので。

商品の編集(削除、追加)、バナーの編集(削除、追加)などができて。

下記は、実行の流れで。

 

f:id:ThisIsOne:20211206212254p:plain

 

なぜこれが起こるのかというと。

admin.redacted.comは、フロントエンドでのみ検証して。

フロントエンドは“is_admin”パラメータを使用して。

ユーザが管理者であるかどうかを検証しているので。

攻撃者は中間者攻撃(MITM)を実行して。

HTTP応答を“is_admin”:trueに変更して。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain