Shikata Ga Nai

Private? There is no such things.

IDOR in support.mozilla.org through Code Reviewを訳してみた

Hello there, ('ω')ノ

 

コードレビューによる support.mozilla.org の IDORを。

 

脆弱性:

 IDOR

 

記事:

 https://noob3xploiter.medium.com/idor-in-support-mozilla-org-through-code-review-ff2aa8ea1201

 

静的解析コード、特に Django アプリを改善しようとしていたので、

Github のランダムなプロジェクトをハッキングすることに。

 

https://github.com/mozilla/kitsune

 

Kitsune は mozilla によって作成されており、彼らによれば、

それが support.mozilla.org を動かしているものであるとのことで。

それでダウンロードしてハッキングしようとして。

すべての URL エンドポイントを調べているときに興味深いエンドポイントを見つけ。

 

 url(r”^/(?P<question_id>\d+)/reply$”, views.reply, name=”questions.reply”)

 

 

これは関数 views.reply を呼び出し。

これが興味深いのは、コードのこの部分で。

 

 

ここでは、delete_images 投稿パラメータを指定すると、

画像を削除するユーザが実際に画像の所有者であるかどうかをチェックせずに、

delete_image パラメータで指定した ID を持つ画像が削除されることがわかって。

 

 

Best regards, (^^ゞ