Hello there, ('ω')ノ
アカウント完全乗っ取り (ATO) を。
脆弱性:
IDOR
アカウント乗っ取り
記事:
https://medium.com/@kojodaprogrammer/full-account-takeover-ato-a-tale-of-two-bugs-d1b3765ff1de
今回は、ターゲットを www.xyz.com と呼び
アカウント乗っ取りを達成するために、重大度が低いように見える
2 つのバグをどのように見つけて連鎖させたかを。
アカウント乗っ取り (ATO) とは、攻撃者が侵害されたアカウントに
関連付けられたデータと権限へのアクセスを取得することで。
これを達成できるかどうかは、ターゲット アプリケーションに存在する
バグとハッカーの創造力に大きく依存して。
ここで、最初のバグである API ベースの
安全でない直接オブジェクト参照 (IDOR) から始めて。
このバグは、アプリケーションが内部実装オブジェクトへの参照を
公開するときに発生して。
アプリケーションの一部で、表示を許可されていない情報の要求や受信が
許可されている場合を指して。
この攻撃では、Burp Suite を使用して、
POST リクエスト (POST /xyz.com/Account?handler=GetUserData) の
本文にある自分の ID を傍受し、変更し。
リクエストを送信した後、下記に示すような被害者のデータを取得して。
このバグは重要でしたが、もう少し棚上げする必要があり。
ここで、「ユーザ アカウント」ページで見つけたコード ブロックを見て、
次のアクションを考えてみると。
上図では、ブラウザ上の現在のユーザのセッションのコピーが表示され。
セッションにはユーザの ID、権限、権限が含まれて。
これらの値は、その後、現在のユーザの名前でデータ用の
API サービスに送り返されて。
はじめの図に示すように、最初のバグで提供された情報を活用して。
「ユーザ アカウント」ページをリロードし、それを傍受し、
自分の ID を被害者の ID に変更して。
その結果、被害者のアカウントに完全にアクセスできるようになり。
影響力を示すために、被害者のパスワードを変更して。
Best regards, (^^ゞ