IDORs:它们是什么,你如何测试它们?

已于 2022-06-11 17:17:17 修改
阅读量453 收藏 1
点赞数 1
分类专栏: src挖掘学习系列 文章标签: php 服务器 开发语言
于 2022-06-09 08:49:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62278422/article/details/125196346
版权

它是什么

IDOR:不安全的直接对象引用

照片由Muhannad AjjanUnsplash上拍摄

这些类型的漏洞源于访问控制问题。我们将用另一整章来讨论这些类型的漏洞。IDOR 一词因出现在 OWASP 前 10 名中而广受欢迎,但实际上它只是另一种类型的访问控制问题。IDOR 可以在水平和垂直权限提升中表现出来。要说IDOR,必须满足以下条件:

  • 请求中存在对象标识符,作为 GET 或 POST 参数
  • 必须存在损坏的访问控制问题,允许用户访问他们不应访问的数据

这些术语可能看起来很抽象,所以让我们看一个例子:

  • 获取 /invoice.php?id=12
  • 发布 /personalInfo.php

{personId:23,name:”tester”}

  • 获取 /invoices/1234.txt

在这些示例中,我们可以看到发出的 POST 和 GET 请求都包含一个标识符。在正常情况下,用户只能访问属于他们的发票或个人数据。但是,如果我们更改此标识符并返回不属于我们用户的数据,我们就有一个 IDOR。

这似乎是对 IDOR 的简单解释,但这基本上就是它的工作原理。复杂性来自于我们如何自动查找此内容以及涉及的不同用户。

您如何寻找 IDOR 漏洞?

我们基本上可以为此采取手动或半自动的策略。

手动

手动搜索 IDOR 可能是最简单的方法。在上一章中,我们讨论了您的主要攻击策略。这表明您应该在后台使用您的 MitM 代理浏览该网站。(参见一般攻击策略)。Burp 套件有一个显示参数化请求的选项:

我们可以使用这个过滤器向我们展示任何包含参数的请求。我们将不得不手动处理这些请求并将包含标识符的请求发送到转发器。

在转发器中,我们可以用一些有效的身份验证令牌替换服务器期望的身份验证方法。

  • 授权标头中的 JWT 可能需要替换
  • 会话 cookie 可能需要更换
  • 自定义身份验证方法可能已到位

您将需要确定正在使用哪种身份验证机制,并确保将任何过期的身份验证方法替换为有效的身份验证方法。通过登录并发出类似请求来获取新的有效令牌。

现在您的请求在转发器中工作,我们可以尝试替换请求中的标识符。

小心:你是一个漏洞赏金猎人,你正在测试一个实时生产环境。不要填写随机标识符。而是创建一个新帐户。登录该帐户并导航到相同的功能。

例子:

  • 我们有一个请求去 GET /invoice.php?id=12
  • 发送到中继器
  • 请求在已过期的授权标头中包含 JWT 令牌
  • 当您启动请求时,它将返回 500,因为 JWT 已过期
  • 登录应用程序并在您的代理选项卡中检查 http 历史记录
  • 最新请求之一应包含有效的 JWT 令牌
  • 复制该 JWT 令牌
  • 替换转发器中过期的 JWT 令牌
  • 您现在应该从服务器获得 200 OK 响应
  • 创建一个新账户
  • 登录该帐户并检查代理选项卡中的 http 历史记录
  • 最新请求之一应包含有效的 JWT 令牌
  • 复制该 JWT 令牌
  • 替换中继器中的 JWT 令牌
  • 如果您现在收到来自服务器的 200 OK 响应和发票的内容,那么您有一个 IDOR

半自动化测试

授权

对于授权,我们可以遵循与上述相同的原则,但是我们现在将讨论该工具的一些细节。这是一个 burp pro 扩展,所以如果你没有 burp pro,你可以跳过这一部分。

Authorize 将使用替换的身份验证方法 (3) 和空身份验证重复您发出的任何请求,以尝试模拟另一个用户和未经身份验证的用户。然后它将修改请求的响应与您发送的请求的响应进行比较。

  1. 您的所有请求都将显示在此处
  2. 这将显示访问控制是否正确实施
  3. 在此处填写负责身份验证的请求标头
  4. 我建议您设置一些过滤器
  • 仅限范围项目(不需要文本):这将确保您不会看到太多奇怪的与范围无关的请求
  • URL 不包含(文本):任何应该是公共信息的请求,我尝试在这里过滤掉

这就是 (2) 状态的含义:

强制:这意味着没有 IDOR。修改后的请求返回 403 禁止或任何其他错误代码。

Is Enforced?:这意味着修改后的修改后的响应没有返回错误代码,但与未经身份验证的请求不完全相同的响应

绕过:这不会自动保证 IDOR!这意味着修改后的响应与原始响应匹配。您仍然需要确认这是否是预期行为。通常,这将是预期的行为。是否是,取决于你的判断,这也是我建议你在破解之前通过探索它来真正了解你的目标的部分原因。始终通过以下方式手动确认

  1. 右键单击请求
  2. 将修改后的请求发送到转发器
  3. 重复请求并确认您正在查看不应公开的其他人数据

匹配和替换

由于授权基本上只是匹配授权标头并尝试将它们替换为用户提供的标头,因此我们可以在代理中设置类似的规则。

  1. 通常请求头会包含授权方法
  2. 填写登录用户的token
  3. 填写您要使用的第二个用户的令牌

现在,只要此规则处于活动状态,您就可以在应用程序中四处点击。如果您可以打开任何不应该公开的信息,我们手上有一个 IDOR。

要禁用此规则,只需取消选中它前面的复选框即可。

刺猬sec
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APP 安全测试(OWASP Mobile Top 10)--后篇之一
一杯咖啡的渗透记忆
03-08 2389
OWASP Mobile Top 10 相对于Web的OWASP Top 10来说,个人觉得描述的相对简单多,并且安全测试的时候的可操作性也不是太强。本来打算个人整体捋一遍的,但因为项目时间的问题,前面四个章节安排给了别人去负责,我只负责后面的六章(所以标题写了后篇)。下面我把个人的测试方法简单叙述一下。下面可能有些测试点不全或者有瑕疵,欢迎纠错。。。。 OWASP M...
IDOR漏洞接管Facebook页面,获1万6千美金奖励
nani1114的博客
09-19 381
发现Facebook零日漏洞,获得10万7千元人民币奖励 安全研究人员发现Facebook存在零日漏洞!可以接管Facebook的任何页面。 Facebook几乎是中小企业推广自家产品的最高效又低成本的平台。合理借用Facebook的关键在于装帧好某项产品或服务的Facebook页面,品牌、企业、组织和名人都可以在这里大展身手,将产品或服务推送给目标受众的粉丝。任何人都可以创建Facebook
不安全的直接对象引用漏洞(浅析)
09-09 602
漏洞定义 不安全的直接对象引用,也被称IDORIDOR允许攻击者绕过网站的身份验证机制,并通过修改指向对象链接中的参数值来直接访问目标对象资源,这类资源可以是属于其他用户的数据库条目以及服务器系统中的隐私文件等等。导致这种情况出现的原因是,系统在接受用户输入并利用输入信息获取对象之前没有对用户身份权限进行检测。 漏洞利用场景 以BTS PenTesting Lab中...
burpsuite 越权_自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数...
weixin_33116629的博客
01-14 1713
IDOR(越权)漏洞:也称为“不安全的直接对象引用”,当用户请求访问内部资源或基于用户提供的输入对象进行访问,服务器未执行合理的权限验证时,发生当前用户可以未经授权访问不属于其帐户权限的资源或数据。我们可以在BurpSuite插件库Bapp中安装Autorize和Autorepeater:使用Autorize发现IDOR漏洞让我们先来看一下“Autorize”。 对于客户端发送的任何请求,它将执行...
IDOR漏洞
tomyyyyy
02-27 658
IDOR漏洞 一、概述 IDOR,Insecure Direct Object reference,即"不安全的直接对象引用",场景为基于用户提供的输入对象进行访问时,未进行权限验证,是一类访问控制漏洞。在OWASP API安全前10名的API漏洞中排名第一。IDOR漏洞其实在越权(Broken Access Control)漏洞的范畴之内,也可以说是逻辑漏洞,或是访问控制漏洞,国内通常被称为越...
什么是IDOR(不安全的直接对象引用)
weixin_43006749的博客
08-29 8494
自从2010年开始,不安全的直接对象引用(IDOR)就已经成为了OWASP Top 10 Web应用安全风险中影响程度排名第四的安全漏洞了。 IDOR将允许一名授权用户获取其他用户的信息,意指一个已经授权的用户通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。Web应用往往在生成Web页面或服务时会用它的真实名字,且并不会对所有目标对象的请求访问进行用户权限检测,所以这就造成了不安...
越权漏洞(IDOR)测试技巧
qq_45244158的博客
03-01 7897
文章目录一、IDOR介绍二、常见的测试技巧1.改变HTTP请求方法2.路径穿越绕过3.改变Content-type(内容类型)4.用数字ID替换非数字5.大小写替换绕过6.用通配符替换ID7.给Web应用提供一个请求ID,哪怕它没作要求8.HTTP参数污染,为同一参数提供多个值。9.更改文件类型。添加不同的文件扩展名(例如.json, .xml, .config)10.JSON参数污染11.在请求体用数组包装参数值12.尝试不同版本的API三、总结 一、IDOR介绍 IDOR,Insecure Dire.
SRC挖掘---web不安全的直接对象引用 (IDOR)漏洞-3day
qq_62278422的博客
04-24 1264
什么是 IDOR? 当应用程序根据用户提供的输入提供对对象的直接访问时,就会发生不安全的直接对象引用 (IDOR)。由于此漏洞,攻击者可以绕过授权并直接访问系统中的资源,例如数据库记录或文件。不安全的直接对象引用允许攻击者通过修改用于直接指向对象的参数值来绕过授权并直接访问资源。这些资源可以是属于其他用户的数据库条目、系统中的文件等等。这是因为应用程序接受用户提供的输入并使用它来检索对象而没有执行足够的授权检查。(来源:OWASP) 让我们看一个例子。想象一下,您正在使用一个文档共享平台。您可以上传..
web渗透测试----18、访问控制和权限提升
七天
03-19 1417
文章目录一、什么是访问控制?二、什么是访问控制安全模型?1、程序访问控制2、自由访问控制(DAC)3、强制访问控制(MAC)4、基于角色的访问控制(RBAC)三、垂直访问控制1、敏感功能可直接访问2、基于参数的访问控制方法3、平台配置错误导致访问控制中断四、水平访问控制1、水平访问控制2、水平到垂直访问控制五、不安全的直接对象引用(IDOR)1、直接引用数据库对象的IDOR漏洞2、直接引用静态文件的IDOR漏洞六、上下文相关的访问控制1、多步骤流程中的访问控制漏洞2、基于引荐来源的访问控制3、基于位置的访问
挖洞经验丨敏感信息泄露+IDOR+密码确认绕过=账户劫持
systemino的博客
07-29 1251
本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 今天分享的这篇Writeup是作者在HackerOne上某个邀请测试项目的发现,目标网站存在不安全的访问控制措施,可以利用其导致的敏感信息泄露(auth_token) +密码重置限制绕过,以越权(IDOR)方式,实现网站任意账户劫持(Takeover)。整个测试过程是一次最基本...
【Web安全】浅谈IDOR越权漏洞的原理、危害和防范:直接对象引用导致的越权行为
HEX9CF的技术博客
11-19 601
IDOR的原理是攻击者通过修改对象的标识符,绕过权限验证,访问到不应该被其所见的资源。不仅要验证和过滤表单中的数据,还要对所有与对象引用相关的输入参数进行校验,包括URL中的参数、请求头中的参数等。不安全的直接对象引用(Insecure Direct Object Reference,简称IDOR)是一种安全漏洞,指在系统中直接暴露敏感对象的引用,使攻击者可以通过修改对象引用来越权访问未经授权的资源。通过使用间接引用,可以隐藏真实的对象引用,只暴露一个代理或中间层的引用,以增加攻击的难度。
开源API越权漏洞检测系统推荐:IDOR_detect_tool
程序猿DD
03-08 473
相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢? Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损。 而在Web应用的安全问题中,最常见的漏洞之一是不安全的直接对象引用,简称:IDOR。即:当应用程序允许用户访问他们不应该访问的资源时,就会发生IDOR漏洞。比如:SaaS软件的用户A访问到了用户B的数据,这样的漏洞是灾难性的,因为用户将不再信任
OWASP TOP 10 2017版本
Websec
11-26 3109
pdf原文地址:http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf 1、前言 不安全的软件正在破坏着我们的金融、医疗、国防、能源和其他重要的基础设施。随着我们的软件变得愈加重要、 复杂且相互关联,实现应用程序安全的难度也呈指数级增长。而现代软件开发过程的飞速发展,使得快速、准确地识别 软件安全风险变得愈发的重要。我们再也不能忽视像《OWASP Top 10》中所列出的相对简单的安全问题。 在2017年版《OWASP Top 10.
记录一些问题(http状态码,IDOR漏洞,API接口,http请求方式)
m0_56214376的博客
03-20 609
在以前学习渗透的过程中遇到好多的小问题,弄得人不舒服,现在记录一下,算是加固一下, 首先是一个服务器返回请求HTTP状态码的值, 常遇到的200,400,404,401,403,500等等,(服务器常见一共14中状态码) 2**开头的成功状态码,请求处理完成,常见的200,204,206的区别, 200请求成功,并返回了实体报文, 204页成功了,但是没有实体报文(也就是你浏览器空白的没有东西)205页和这个差不多, 206的区别是他请求成功也给你返回了实体报文,但他这个给你返回的是你G
会话Cookie中的IDOR导致批量帐户泄露
知柯信安
01-07 285
如果你熟悉IDOR是什么,你将知道它可以在url,请求正文,GET或POST请求等任何地方,也可以在cookie中。 当我注意到Cookie中有一个被称为shoppingID会话Cookie的事件时,In试图重现CSRF问题。 在仔细查看了cookie的价值之后,我意识到一些很快引起我注意的事情: shoppingID=88ea39539e74fa67c09a4fc0bc8ebe6d00978392PEr9ySESSIONID3552522PXGLkC; 你注意到了吗?如果没有,请不要再继续查看。 如果你
漏洞挖掘丨客户支持聊天系统中的IDOR漏洞
weixin_43006749的博客
08-29 387
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 2019-04-17_165229.jpg大家好,今天分享的writeup是一个关于客户支持系统(Customer Support)的IDOR漏洞(不安全的直接对象引用),该漏洞可以导致目标系统的访问控制功能失效,实现客户支持平台内的任意消息读取和发送,还能下载任意用户的相关文件。...
supervisor 简单理解
最新发布
qq_42857358的博客
04-28 194
test.ini文件内容。
2024 XYCTF Web 方向 wp 全解
qq_39947980的博客
04-27 961
XYCTF 2024 Web 方向全解
PHP】sign加签方法示例
q8688的博客
04-25 406
【代码】【PHP】sign加签方法示例。
桌面运维岗面试三十问
一坨小橙子的博客
04-28 680
桌面运维岗面试问题及答案汇总

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值