Shikata Ga Nai

Private? There is no such things.

How I found an IDOR Worth $1500を訳してみた

Bug Bounty

Hello there, ('ω')ノ

 

1500 ドル相当の IDOR を見つけた方法を。

 

脆弱性

 IDOR

 

記事:

 https://adilnbabras.medium.com/how-i-found-an-idor-worth-1500-d5f78bc22a7e

 

安全でない直接オブジェクト参照 (IDOR):

IDOR は Broken Access Control のブランチで。

ユーザが、意図されていない、または許可されていない何かを実行したり。

アクションを実行したりできる場合。

たとえば、アプリケーションでは、URL バーでそのメモにアクセスするたびに。

https://www.example.com/notes/private?noteId=1002 が表示されるパラメータがあり。

ここでは、メモはバックエンドで ID 1002 で参照されて。

アプリケーションが IDOR に対して脆弱で、URL の 1002 を 1001 に変更すると。

他のユーザーの個人的なメモが表示される可能性がありますが、これは良くなく。

もちろん、1002 を 1001 に変更するだけという単純なものではなく。


ストーリータイム :

スコープは非常に限られていたため、偵察を行うしかなく。

メインアプリのバグを見つけなければならないので。

まずはアカウントを作ってアプリを使い始め。

アプリの流れやロジックを理解して。

アプリケーションを通常のユーザとして使用するだけで。

バグを探しているわけではなく。

 

その後、しばらくして、セッション Cookie、アンチ csrf トークン、および。

ヘッダを特定し。

この時点から、CSRF (Client Side Request Forgery) を探し始め。

アプリケーションのほとんどすべての機能は機密であるため。

それぞれを確認する必要があり。

Burp Suiteを起動し、すべてのリクエストを1つずつキャプチャし始め。

CSRFを探し始め、ほとんどすべての主要な機能を確認しましたが。

CSRFのバグの可能性があることに気付き。

 

だからIDOR のハンティングを開始し。

まず、各プロファイルの一意の識別子が何であるか、それをどのように取得し。

どこで開示したかを特定する必要があり。

そのため、各プロファイルには、ソースコードで利用できる長いランダム文字列。

(afdt3628veyv37ECE3bfcb6vdEvcdstgh36Rvsdvye) という一意の識別子が。

あることに気付き。

たとえば、誰かのプロフィールにアクセスしてページのソース コードを確認すると。

そのプロフィールの一意の識別子を取得でき。

Burp Suiteを使用しても同じ情報を取得できますが。

ソース コードを表示するのが簡単な方法で。

 

また、各投稿、画像、コメントなどには、独自の一意の識別子があり。

そのため、1つは攻撃者のアカウント、もう 1つは被害者のアカウントの。

2つのアカウントを作成し、一意の識別子に注意し。

Burp Suiteを再び使用して、リクエストのキャプチャと各機能のチェックを開始し。

範囲は非常に限られていましたが、機能は非常に広範で。

 

次に、プロフィールに画像を追加できる機能に出会い。

ブラウザで画像を見たときに画像をアップロードした後に。

url には 2つのパラメータがあり、そのうちの 1つにはプロファイルの。

一意の識別子が含まれ、もう 1つのパラメータには。

その画像の一意の識別子が含まれ。

その ID を別のアカウントの ID に変更すると。

別のアカウントの画像が表示されるものの。

その画像はすべてのユーザに公開されているため、これはバグではなく。

誰かのプロフィールに移動すると、常に公開されているため。

彼の画像を見ることができて。

 

しかし、その画像を削除してBurp Suiteでリクエストをキャプチャすると.

エンドポイントへの DELETE リクエストがあり。

リクエストには以前に列挙したものと同じ識別子が含まれていることがわかり。

尊重される識別子を他のアカウントの識別子に変更してリクエストを送信すると。

204 ステータス コードで応答し。

ブラウザで被害者のアカウントを見ると、尊敬されている画像が削除されていて。

 

概念実証:

・プロフィールに画像をアップロードして。

・その画像を削除し、Burp Suiteを使用してリクエストをキャプチャし。

・任意のプロファイル コピー イメージの URL に移動し、それをメモ帳に貼り付けて。

 尊重される識別子をコピーし。

・Burp Suiteでその識別子を変更し、リクエストを送信し。

・被害者の画像が削除され。

 

この脆弱性を利用して、何十億ものユーザの画像を削除できて。

 

このバグから学んだこと:

・あきらめない、決してあきらめないで。

・バグはどこにでもあり、安全なものはなく。

・しつこく。

・ロジックを理解して。

・ツールに頼らずに、すべて手動で。

 

Best regards, (^^ゞ