Shikata Ga Nai

Private? There is no such things.

IDOR at Login function leads to leak user’s PII dataを訳してみた

Hello there, ('ω')ノ

 

IDOR at Login 関数により、ユーザの PII データが漏洩するを。

 

脆弱性:

 IDOR

 情報開示

 

記事:

 https://eslam3kl.medium.com/idor-at-login-function-leads-to-leak-users-pii-data-d77e6613e9e0

 

今回は、脆弱な機能は、攻撃者を管理してユーザ名を置き換え。

登録ユーザの PII を漏洩させるログイン機能で。

 

バグの再現手順として、IDOR の簡単な定義を確認する必要がある場合は。

この悪意のあるユーザ1234 を確認して。

 


再現する手順:

1.脆弱なサブドメインには、最初にユーザ名を入力する必要がある。

 ログイン機能があり、それが有効な場合は。

 次のステップに進んでパスワードを入力し。

 

2.ランダム ユーザテストに入った後、test という名前のユーザが。

 存在することに驚き、応答で彼の PII データをすべて取得して。

 エンドポイントは以下のとおりで。

  https://subdomain.target.com/v1.0.0/dev/userfirm/ 

 

 

3.このリクエストをIntruderに送信し、漏洩したユーザ名を。

 よりリアルなものにしてみて。

 

 

このようにして、次のようなシステムユーザのほとんどの情報を取得でき。

 ユーザ名

 姓名

 電子メールアドレス

 電話番号

 電話

 商号

 ユーザID

 

緩和/修正:

1.機密データが含まれないようにリポジトリを制限し。

 開発者は、これらの機密情報を別の機能に送信する必要がありますが。

 攻撃者の視界から遠く離れた場所に制限することを忘れていて。

 PII データを次のような文に置き換えることができ。

  {"userExist":"true", "errors": null}

 

2.指定された API エンドポイントにスロットリング コントロールを追加して。

 ブルート フォーシングの試みを停止して。

 

Best regards, (^^ゞ