Hello there, ('ω')ノ
管理者アカウントを削除した偶発的なIDORを。
脆弱性:
IDOR
記事:
https://infosecwriteups.com/accidental-idor-that-deleted-admin-account-d51264292b66
今回のバグについて、IDORはOWASP Top10 2013に含まれていて。
これは参照が公開されているために不正なデータにアクセスする可能性があって。
実際のシナリオとして、Burp Suiteのリピータのリクエストでテストし始めてから。
Burp Suiteの履歴全体から削除するリクエストを検索すると。
このWebサイトには、自分のアカウントでチームメンバーを。
追加および削除する機能があって。
このリクエストで、user_id=1の削除リクエストを送信すると。
管理者アカウントが削除されたので。
この後、誰のアカウントも削除できることが確認できて。
Best regards, (^^ゞ