Hello there, ('ω')ノ
サポートチケットシステムに関するスタッフ情報の開示を。
脆弱性:
情報開示
記事:
サポートチケットシステムとは。
チケットは、ソーシャルメディア、ライブチャットやメッセージング、電子メール。
または会社のWebサイトに設定したカスタマーサポートポータルなど。
さまざまなチャネルから取得できて。
カスタマーサービスへのオムニチャネルアプローチにより。
企業はすべてのチャネルからのリクエストを整理し。
それらを1つの包括的なダッシュボードにまとめることで。
チケットワークフローを合理化できて。
オムニチャネルチケットシステムは、任意のチャネルからのクエリを可能にし。
サポートチケットシステムは、組織全体の顧客の会話を可視化し。
サポートチームが協力してクエリを解決したり。
チケットから関連する洞察を引き出したりできるようにして。
今回は、APIの脆弱性を探すのが好きなので情報開示を探することに。
サイドバーのナビゲーションに「サポートチケット」が表示されるので。
開いて発行して。
説明なしで問題を開いているので、スタッフの1人に返信するのを待つだけで。
しかし、自分の個人情報がapiで返されたという応答を見るので。
彼らは自身の個人情報を見ることができますが、彼らは組織の一部なので大丈夫で。
1日後、Burp Suiteは開示された電子メールアドレスを検出して。
パス「/api/ *** /tickets」で開示されているメールアドレスの問題で。
Burp Suiteは2通のメールを受け取って。
1通は自身のメールで、2通目はスタッフのメールで。
下記がスタッフの返信で。
応答を調べると、開示された電子メールだけではなくて。
アカウントの作成日、電子メール、携帯電話番号、2FAピン、IPアドレスなどを。
確認できて。
Best regards, (^^ゞ