黑客挖掘客户支持聊天系统中的IDOR漏洞($5,000)

大家好,今天的共享写入是关于客户支持的IDOR漏洞(不安全的直接对象引用),这可能导致目标系统的访问控制功能失败并在客户支持平台内实现任何消息。阅读和发送,您还可以为任何用户下载相关文...

先生们女士们,今天的共享资源载入是关于客户支持的IDOR系统漏洞(不安全的直接对象引证),这可能造成目标系统的访问控制功能失败并在客户支持平台内实现任何信息。阅读文章和上传,您还可以为任何用户下载相关文件。 最后,该系统漏洞被生产商获评“严重”,并获得了5,0500美金的奖赏。让我们讨论一下。 系统漏洞发现 在目标系统的客户支持闲聊对话框中,用户上传信息后,以下对话框将转化成以下恳求:

用户上传的信息包括字段名——“john wick2检测!”在闲聊对话框中,分派给“text”主要参数。除此之外,您还可以见到“user_Id”,“email”,user_hash,“anonymous_Id”和块。 发出请求后,目标系统网络服务器将以以下方式响应: 可以看

,响应还包括用户的上传信息,以及网络服务器分派的另外主要参数“Id”。 有了这些检测样版,我们自然会想到——不安全直接对象引证系统漏洞(IDOR),所以我们来测试吧! 检测IDOR系统漏洞 检测1——替换成恳求中的user_Id 比较简单,我们将使用与普通用户对应的值替换成恳求信息中的“user_Id”主要参数。会发生什么?一个变化,服务端解析错误:

test 2——删掉恳求中用户对应的user_hash主要参数字符串值 这儿,我们不移动“user_Id”主要参数,而只是删掉与用户对应的“user_hash”参数值。在闲聊对话框中上传信息后,我们得到以下网络服务器响应:

哪个提示:应用场景用户验证体制,必须对用户进行哈希处理。换句话说,散列认证是强制的,并且是与user_Id值的投射关系。随后让我们看一下其他主要参数。 检测3——删掉恳求中的user_Id和user_hash参数值 在同时删掉恳求中的user_Id和user_hash参数值之后,在闲聊对话框中上传信息之后,网络服务器响应:用户哈希失效,这与此前的检测响应相同。 检测4——删掉恳求中的user_Id,user_hash和anonymous_Id参数值 现在,只有“email”和“anonymous_Id”主要参数,因此在前边的测试步骤的基础上,我们还将删掉anonymous_Id主要参数的值。在闲聊对话框上传信息后(您好这个jaya222),这个删掉,意外惊喜来啦: 

IDOR,这绝对是IDOR!从而可以看得出,目标系统的web后端开发具有配备错误,并且没有对“email”主要参数实行有效的过虑检查。换句话说,网络服务器只需要“email”参数值来认证用户的真实身份。并作出有效的答复! PoC检测 如下如图,在闲聊对话框信息上传的相应恳求中,我们删掉了user_Id,user_hash和anonymous_Id参数值,如下如图:

上传闲聊对话框信息后,在没有那么多与用户相关的重要主要参数恳求的情况下,我们可以接到目标系统客户支持平台的有效响应,如下: 

系统漏洞 应用场景此,假如将“email”主要参数的值更改成与普通用户对应的注册电子邮件详细地址,我能载入用户的所有已上传信息,并且还可以作为用户上传信息和文件上传,并下载与用户对应的文件。 在上面的PoC步骤中,我简单地将POST恳求中的网页地址减少为/messenger/web/conversations,并且仅将主要参数与普通用户电子邮件地址一起上传,我能轻松地在网络服务器响应中获得分派给用户的web后端开发。用户真实身份。之后,我能将Id号加上到POST恳求网页地址的结尾,以形成/messenger/web/conversations/[conversation-Id],以实现用户的详细应用程序内容获得。 检测总结 在测试阶段1中,在改动user_Id失败后,我们大部分人可能认为目标系统没有IDOR系统漏洞,随后选择舍弃检测。但是,IDOR系统漏洞不仅仅限于参数值变更,还包括参数值删掉以及与私人信息相关的其他字段名替换成。与该实例中一样,电子邮箱参数值造成IDOR系统漏洞,并且只要将其更改成与普通用户对应的注册邮箱,就可以容易地获得会话信息的内容和用户的相关个人文件。因此,IDOR系统漏洞不仅是参数值的取代或增加,它还可以有其他形式的检测实现,我们必须在具体的检测过程中思索越来越多。