Shikata Ga Nai

Private? There is no such things.

How I Get Bounty From Takeover Accountを訳してみた

Hello there, ('ω')ノ

 

テイクオーバーアカウントからバウンティを取得する方法を。

 

脆弱性:

 IDOR

 情報漏えい

 パスワードリセットの不具合

 アカウント乗っ取り

 

記事:

 https://medium.com/@ryuukhagetsu/how-i-get-bounty-from-takeover-account-ed17cd838b2a

 

今回は、「site.com」というWebサイトで。

当時、自分のアカウントは「user-account-premium」ではなく。

「user-account」としてしかなかったので。

「user-account-premium」を取得できるように脆弱性を見つけようとして。

 

Burp Suiteを開いて、送信されたリクエストを確認したところ。

リクエスト「/api/siswa/82182」が見つかり。

リピーターを使用して応答を確認すると、アカウントデータが出力されて。

 

 

「/api/ student/82182」を。

「/api/ student/82181」(82181は他の人のアカウント)に変更すると。

IDORが見つかると思うのでうれしいですが、機能せず。

 

 

別の方法があると感じたので、Burp SuiteでParam Miner拡張機能を使用することに。

「/api/siswa/」に設定し、「Guess headers」を使用して。

 

この拡張機能は、非表示のリンクされていないパラメータを識別するので便利で。

 

https://portswigger.net/bappstore/17d2949a985c4b7ca092728dba871943

 

 

Param Minerがリクエストヘッダを「/api/siswa/?wy0kvoly1=1」に変更し。

別のアカウントからデータを取得していることがわかって。

 

 

ここから「パスワードを忘れた」を使用し、被害者のメールアドレスと番号を入力し。

パスワードを変更するメッセージを受け取って。

検証なしで誰かの番号に送信されて。

 

Best regards, (^^ゞ