【网络安全】IDOR之敏感数据泄露

最新推荐文章于 2024-10-03 23:14:19 发布

秋说

最新推荐文章于 2024-10-03 23:14:19 发布

阅读量178

点赞数

分类专栏：网络安全文章标签： web安全漏洞挖掘

该原创文章未经本人许可，不得用于商业用途。未经授权不得转载，否则保留追究法律责任的权利。

本文链接：https://blog.csdn.net/2301_77485708/article/details/141868685

版权

网络安全专栏收录该内容

92 篇文章 4 订阅 ¥49.90 ¥99.00

订阅专栏

超级会员免费看

未经许可，不得转载。

文章目录

- - 正文

正文

在测试“添加到收藏夹”功能时，我拦截了发送到服务器的请求，请求体如下：

{
  “uriTemplate”：“asset/{assetId}/favorite”，
  “version”：“v2”，
  “type”：“POST”，
  “req_service”：“pict”，
  “url”：“asset/VICTIM'S_ASSETID/favorite?favorite=true”
   }

其中， assetId 参数的值为我图像的Id，我将该值更改为其他用户图像的参数值，发包后，成功将受害者的图像添加到我的收藏夹相册中。

在这里插入图片描述

这表明系统在处理“添加到收藏夹”请求时，未对 assetId 参数进行适当的访问控制或权限检查，从而允许未授权的操作。

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

秋说

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

【Web安全】浅谈IDOR越权漏洞的原理、危害和防范：直接对象引用导致的越权行为

HEX9CF的技术博客

11-19

1060

IDOR的原理是攻击者通过修改对象的标识符，绕过权限验证，访问到不应该被其所见的资源。不仅要验证和过滤表单中的数据，还要对所有与对象引用相关的输入参数进行校验，包括URL中的参数、请求头中的参数等。不安全的直接对象引用（Insecure Direct Object Reference，简称IDOR）是一种安全漏洞，指在系统中直接暴露敏感对象的引用，使攻击者可以通过修改对象引用来越权访问未经授权的资源。通过使用间接引用，可以隐藏真实的对象引用，只暴露一个代理或中间层的引用，以增加攻击的难度。

OWASP 移动应用 2024 十大安全风险

shendong70的博客

07-14

1535

随着智能手机的快速发展，移动应用已经成为我们日常生活关系最密切的软件应用。开放全球应用程序安全项目（OWASP）基金会，致力于提高软件的安全性。自 2014、2016年发布了移动应用的十大风险后，今年再次发布2024版。这对移动应用软件的检查工具有着重要的指导作用。

参与评论您还未登录，请先登录后发表或查看评论

使用手机挖掘IDOR漏洞赚取1500美元赏金

2301_80127209的博客

08-30

797

在今天的文章中，笔者将分享如何在手机上发现两个不安全的直接对象引用 (IDOR) 实例，并因此获得 1500 美元的赏金。

除了SQL注入，Web安全威胁还包括许多其他类型，

hljdengbaoceping的博客

08-13

255

**防范**：使用X-Frame-Options头或CSP的frame-ancestors指令来防止页面被框架加载。- **防范**：使用X-Frame-Options头或CSP的frame-ancestors指令来防止页面被框架加载。- **防范**：对用户输入进行编码或使用安全框架提供的自动转义功能；- **防范**：对用户输入进行编码或使用安全框架提供的自动转义功能；- **防范**：限制上传文件的类型和大小；- **防范**：实施适当的访问控制和身份验证检查，确保用户只能访问授权的资源。

什么是数据泄露？泄露如何发生？黑客是如何处理被盗数据的？

蹦极的考拉

12-20

2150

数据泄露是指导致机密、私人、受保护或敏感信息暴露给无权访问的人员的事件。它可能是意外事件或故意行为从个人或组织窃取信息的结果。例如，员工可能会意外暴露敏感信息，或者他们可能会故意窃取公司数据并将其与第三方共享或出售给第三方。或者，黑客可能会从包含敏感信息的公司数据库中窃取信息。无论数据泄露的根本原因是什么，被盗信息都可以帮助网络犯罪分子通过出售数据或将其用作更广泛攻击的一部分来获利。数据泄露通常包括银行帐户详细信息、信用卡号、个人健康数据以及电子邮件帐户和社交网站的登录凭证等信息的丢失或被盗。

【burpsuite安全练兵场-服务端7】访问控制漏洞和权限提升-11个实验（全）

01-10

8664

【BP靶场portswigger-服务端7-访问控制漏洞和权限提升】11个实验-万文详细步骤

【Academy】Information disclosure vulnerabilities 信息泄露漏洞

D-river博客

06-20

953

信息泄露，是指网站无意中向用户泄露敏感信息。有关其他用户的数据，如用户名或财务信息敏感的商业或业务数据关于网站及其基础设施的技术细节泄露敏感的用户或业务数据的危险是相当明显的，但披露技术信息有时也同样严重。虽然其中一些信息的用途有限，但它可能是暴露其他攻击面的起点，这些攻击面可能包含其他有趣的漏洞。您能够收集的知识甚至可以在尝试构建复杂的高严重性攻击时提供拼图的缺失部分。有时，敏感信息可能会不小心泄露给只是以正常方式浏览网站的用户。

云原生环境中的服务组件可能涉及API安全和身份验证，增加了安全策略的复杂性

图幻未来的博客

06-04

709

随着云计算技术的不断发展，越来越多的企业和开发者选择将业务迁移到云原生环境中。云原生环境具有弹性、可扩展性和敏捷性等优势，但与此同时，也带来了新的安全挑战。本文旨在分析云原生环境中服务组件所涉及的API安全和身份验证问题，以及如何应对这些挑战，提高云原生应用的安全性。

DVWA包含以下几个主要的安全漏洞类别.rar

06-13

DVWA是一个用于网络安全教育的开源Web应用程序，它为安全专业人员提供了一个平台来实践和测试他们的渗透测试技能。以下是根据标题和描述推测的一些可能的知识点： 1. **SQL注入（SQL Injection）**：这是最常见的...

OWASP Web 安全测试指南-Web 应用程序安全测试

seanyang_的博客

12-04

519

本节介绍 OWASP Web 应用程序安全测试方法，并说明如何测试应用程序中由于已识别的安全控制缺陷而导致的漏洞证据。

渗透测试/漏洞赏金/src/黑客自学指南

2301_79205724的博客

08-30

706

在此方法论中我们的目标范围仅是一个域名或一个子域名，因此你应当针对你测试范围内的每一个不确定其web服务的域名，子域名或ip进行测试

WASC和OWASP到底是干啥的？

TiantianMami的博客

04-19

840

WASC（Web Application Security Consortium）是一个由安全专家、行业顾问和多个组织的代表组成的国际团体。WASC的关键项目之一是“Web安全威胁分类”，该项目旨在将Web应用所受到的威胁和攻击进行详细说明，并归纳成具有共同特征的分类，以制定和推广行业标准术语。

访问控制漏洞和特权升级（Access control vulnerabilities and privilege escalation）学习笔记

汗的博客

05-07

2965

笔者burpsuite的在线安全学院的Access control vulnerabilities and privilege escalation学习笔记。笔者认为这这个的覆盖面比国内俗称的越权要广，所以就直译了。限于本人水平，笔记质量不是很高，假如有看到的大佬轻喷，很多地方是Google翻译的。文章目录访问控制漏洞和特权升级什么是访问控制？访问控制安全模型什么是访问控制安全模型？程序访问控制...

网络安全 网络安全的主要领域安全威胁防护技术安全策略未来趋势

最新发布

weixin_42462436的博客

10-03

1462

随着智能手机和平板电脑的广泛使用，移动设备的安全（如数据加密、设备丢失保护等）也成为重点。由国家级或高级黑客组织发起的持续性、高度隐蔽的网络攻击，通常以窃取敏感信息为目的。使用加密、访问控制、数据备份等手段来保护信息免受未经授权的访问、修改或删除。包括防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等技术的使用。保证操作系统和相关服务的安全，包括权限控制、补丁管理、系统日志监控等。利用全球收集的安全信息和分析工具，提前识别并防御潜在的威胁。关注对虚拟化平台、API安全、数据隔离和访问管理的控制。

【网络安全】Cookie与ID未强绑定导致账户接管

等风来

10-02

319

DigiLocker 是一项在线服务，旨在为公民提供一个安全的数字平台，用于存储和访问重要的文档，如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证（MFA）来保护用户账户安全，通常包括 6 位数的安全 PIN 和一次性密码（OTP）验证。

Web安全 - 文件上传漏洞（File Upload Vulnerability）

小工匠

10-02

1783

文件上传漏洞是指Web应用允许用户上传文件，但没有对上传文件进行充分的验证和限制，导致攻击者可以上传恶意文件，如脚本、恶意代码等，进一步执行恶意操作。这种漏洞常见于文件管理、头像上传或文档管理等功能中。路径穿越结合文件上传：绕过文件上传目录限制，访问或执行敏感位置的文件。远程代码执行（RCE）结合文件上传：通过上传并执行恶意文件实现远程控制。跨站脚本（XSS）结合文件上传：通过文件传播恶意脚本，跨站点执行攻击。跨站请求伪造（CSRF）结合文件上传：在不知情的情况下诱使用户上传恶意文件。

Web安全 - 跨站点请求伪造CSRF（Cross Site Request Forgery）

小工匠

09-29

1323

CSRF (Cross-Site Request Forgery，跨站请求伪造) 是一种攻击方式，攻击者诱导用户在不知情的情况下发起非授权的请求。例如，用户在登录某个站点后，攻击者通过社交工程等手段诱使用户点击包含恶意请求的链接，利用用户已登录的状态，发起用户意图之外的操作，如转账、修改账户设置等。：在每次受保护的请求中，服务器生成一个唯一的CSRF Token，注入到表单或请求头中。：对于敏感操作，可以要求用户进行额外的身份验证，如验证码或短信验证，防止攻击者即便利用用户的认证状态，也无法完成关键操作。

网络安全：保护您的数字世界

不迁怒，不贰过。小知识，大智慧。

09-29

1238

在当今数字化时代，网络安全已经成为每个人都应该关注的重要议题。随着互联网的普及和信息技术的快速发展，我们的个人信息、财务数据甚至国家安全都面临着来自网络的威胁。网络攻击日益猖獗，黑客利用漏洞和技术手段，威胁着我们的数字世界的安全。在这个信息爆炸的时代，数据的泄露和被篡改可能带来严重的后果，影响个人隐私、金融安全甚至国家稳定。因此，保护我们的数字世界免受网络攻击变得至关重要。本文将探讨网络安全的重要性，介绍网络安全的基本概念和最佳实践，帮助读者更好地了解如何保护自己在数字世界中的安全。让我们共同努力，建立一个

João Santos分享Web攻击参考：XSS渗透测试详解

文档还提及了其他安全漏洞，如Insecure Direct Object Reference (IDOR)，这是一种权限泄露问题，攻击者可以通过操纵参数直接获取不应公开的敏感信息。针对IDOR的测试方法也在文中有所涉及。学习者可以从这份资料...