Hello there, ('ω')ノ

 

管理者アカウントを削除した偶発的なIDORを。

 

脆弱性：

　IDOR

 

記事：

　https://infosecwriteups.com/accidental-idor-that-deleted-admin-account-d51264292b66

 

今回のバグについて、IDORはOWASP Top10 2013に含まれていて。

これは参照が公開されているために不正なデータにアクセスする可能性があって。

 

実際のシナリオとして、Burp Suiteのリピータのリクエストでテストし始めてから。

Burp Suiteの履歴全体から削除するリクエストを検索すると。

このWebサイトには、自分のアカウントでチームメンバーを。

追加および削除する機能があって。

 

 

このリクエストで、user_id=1の削除リクエストを送信すると。

管理者アカウントが削除されたので。

この後、誰のアカウントも削除できることが確認できて。

 

Best regards, (^^ゞ