Hello there, ('ω')ノ
壊れた機能レベルの認証により、すべての企業ユーザの PII 情報が開示されるを。
脆弱性:
壊れた機能レベルの認可
情報漏えい
記事:
PII とは、個人情報または個人を特定できる情報とも呼ばれる個人データは。
特定可能な個人に関連するあらゆる情報で。
PII 情報がすべての企業ユーザに公開される API 侵入テスト中に。
BFLA (Broken Function Level Authorization) の脆弱性を発見して。
BFLA (Broken Function Level Authorization) とは。
壊れた関数レベルの承認は、壊れたオブジェクト レベルの承認に似ていて。
どちらも、ユーザ リクエストを検証するための承認メカニズムが不適切または。
不適切であるため、攻撃者が承認されていない API エンドポイントに。
アクセスすることに関連していて。
Postman ツールを使用して API 侵入テストを行っていて。
Burp Suiteで Postman ツールを構成し、Postman を介してすべての。
トラフィックを Burp Suiteに転送し。
Burp Suiteで Postman を構成する方法についてのビデオ リンクを添付して。
Burp で Postman を設定:
自分の会社は侵入テスト用の API コレクションをくれて。
Postman に移動し、API コレクションを Postman にインポートするだけで。
ユーザ更新プロファイルの API コレクションに PATCH 要求があり。
ユーザプロファイル更新のPATCHリクエスト
Burp Suiteをインターセプトして、Burp Suiteにリクエストを送信するだけで。
元のリクエスト
リクエストの body パラメータ username を削除し、URL から user-id を削除して。
リクエスト PATCH を GET に変更するだけで。
変更されたリクエスト
変更されたリクエストをリピータ タブに転送すると。
すべての企業ユーザに開示された PII 情報を含む応答が表示されて。
すべての企業ユーザに開示される PII 情報
Best regards, (^^ゞ
