Hello there, ('ω')ノ
IDOR at Login 関数により、ユーザの PII データが漏洩するを。
脆弱性:
IDOR
情報開示
記事:
https://eslam3kl.medium.com/idor-at-login-function-leads-to-leak-users-pii-data-d77e6613e9e0
今回は、脆弱な機能は、攻撃者を管理してユーザ名を置き換え。
登録ユーザの PII を漏洩させるログイン機能で。
バグの再現手順として、IDOR の簡単な定義を確認する必要がある場合は。
この悪意のあるユーザ1234 を確認して。
再現する手順:
1.脆弱なサブドメインには、最初にユーザ名を入力する必要がある。
ログイン機能があり、それが有効な場合は。
次のステップに進んでパスワードを入力し。
2.ランダム ユーザテストに入った後、test という名前のユーザが。
存在することに驚き、応答で彼の PII データをすべて取得して。
エンドポイントは以下のとおりで。
https://subdomain.target.com/v1.0.0/dev/userfirm/
3.このリクエストをIntruderに送信し、漏洩したユーザ名を。
よりリアルなものにしてみて。
このようにして、次のようなシステムユーザのほとんどの情報を取得でき。
ユーザ名
姓名
電子メールアドレス
電話番号
電話
商号
ユーザID
緩和/修正:
1.機密データが含まれないようにリポジトリを制限し。
開発者は、これらの機密情報を別の機能に送信する必要がありますが。
攻撃者の視界から遠く離れた場所に制限することを忘れていて。
PII データを次のような文に置き換えることができ。
{"userExist":"true", "errors": null}
2.指定された API エンドポイントにスロットリング コントロールを追加して。
ブルート フォーシングの試みを停止して。
Best regards, (^^ゞ
