运用越权漏洞 IDOR 实现账户劫持
发布时间:2022-08-26 09:40:10 所属栏目:安全 来源:互联网
导读:攻击者若劫持了受害者账户就能以受害者身份执行所有账户环境操作了。攻击者若劫持了项目,即可获得相应的项目管理权限。有时,IDOR攻击不能实现对目标账户的完全劫持,但却可以获得受害者或管理员账户环境中的一些资源访问管理权,我在多个众测项目中就遇到
|
攻击者若劫持了受害者账户就能以受害者身份执行所有账户环境操作了。攻击者若劫持了项目,即可获得相应的项目管理权限。有时,IDOR攻击不能实现对目标账户的完全劫持,但却可以获得受害者或管理员账户环境中的一些资源访问管理权,我在多个众测项目中就遇到了这种情况。 不安全的直接对象引用(Insecure Direct Object Reference),该漏洞多出现在一些公司的服务台(helpdesk)接口系统上,通过更改变化其中的票据或用户ID,从而可以读取到其它用户相关的票据或账户信息。但实现上,IDOR漏洞不仅仅限于变化ID数值读取他人资源,它还可造成某些数据的篡改。 如果利用IDOR来实现对目标账户或实体项目的劫持呢?比如,这里有个主账户,它在其账户环境下创建了名为manager的子账户或一些运营项目,我们的目的就是劫持这个manager子账户和运营项目。 如某网站针对普通用户,有不同订阅计划对应了不同价格,另外针对企业客户又会依据需求设置企业计划。我的测试账户身处企业计划范围中,可以访问到企业计划项目,并且可向其中添加常规项目,且可查看相应状态。 这里的复杂性在于,项目ID号是随机的,因此他人的项目ID是不可猜测的,但可以通过一种方式来发现:到项目的公共主页中的HTML页面中寻找,如下: 经过测试,我在city-mobil.ru中的跨平台系统中发现了这样IDOR导致的账户劫持漏洞,利用该漏洞可以获取到100多万名司机的数据:护 照和驾 照信息,另外还能更改司机的资料数据。 我前后利用该类型漏洞在多个众测项目中收获了$25,000的奖励,但如果该类型落到了网络犯罪份子手中,其价值远远超过这个金额。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号