Hello there, ('ω')ノ

 

　MASS IDORと呼ぶものを。

 

脆弱性：

　レート制限の欠如

　権限昇格

　IDOR

　アカウント乗っ取り

 

記事：

　https://medium.com/@evilmango/this-is-what-i-call-mass-idor-20e6ec146c0e

 

今回、アプリケーションで興味深い IDOR を見つけたのは少し前のことで。

アプリケーションを「example.com」と呼ぶことに。

アプリケーションを開いたとき、電子メールや番号でサインアップする。

オプションはありませんでしたが、Web 所有者または管理者から提供された。

招待コードを提供することによってのみ、自分自身を登録できて。

アプリケーションにレート制限がないことを分析したので。

６桁の招待コードをブルート フォースするとどうなるかを。

SecLists フォルダーから ６桁の単語リストを選んで。

ブルート フォースを開始すると10分もかからず。

Burp Suite のturbo intruderが 20 から 30 の招待コードを返してくれたので。

ユーザを登録してログインしましたが何も見つからず。

 

 

 

リクエストに応えたレスポンスで、「isAdmin=false」を見たので。

サーバのレスポンスを変更するリクエストで admin の値を true に変更するなど。

多くのことを試しましたが、役に立たず。

それから、再びBurp Suiteですべてのリクエストをキャプチャし。

慎重に分析を開始して、すべてのリクエストを注意深く分析し。

数時間を費やした後、何も見つからないことがわかって。

 

また、ログイン後、訪問していないことがに気づいたので。

もう一度登録すると、そのリクエストには招待コードがないことがわかって。

そのため、１つの招待コードを持つユーザは。

必要なだけ多くのアカウントを登録できて。

 

ロールを管理者に変更すると「isSuperAdmin」と返ってきたことに気づいて。

 

 

roleを superAdmin に変更して。

 

 

リクエストを分析すると、IDOR が他にもいくつかあることがわり。

ALL USERS ACCOUNT TAKEOVER につながる IDOR と。

ユーザのデータを変更してからアカウントの乗っ取りにつながる。

別の IDOR を見つけて。

メールとパスワードがリクエストフィールドにあったためで。

 

Best regards, (^^ゞ