IDOR漏洞

最新推荐文章于 2024-04-17 15:43:15 发布
最新推荐文章于 2024-04-17 15:43:15 发布
阅读量634 收藏 3
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tomyyyyyy/article/details/129253457
版权

IDOR漏洞

一、概述

IDOR,Insecure Direct Object reference,即"不安全的直接对象引用",场景为基于用户提供的输入对象进行访问时,未进行权限验证,是一类访问控制漏洞。在OWASP API安全前10名的API漏洞中排名第一。IDOR漏洞其实在越权(Broken Access Control)漏洞的范畴之内,也可以说是逻辑漏洞,或是访问控制漏洞,国内通常被称为越权漏洞。

二、权限绕过

1.改变HTTP请求方法

如果某个请求方法无效,那么可以试试其它方法,如GET, POST, PUT, DELETE, PATCH…等,一个通常的技巧就是用GET和POST进行互换,原因在于服务端的访问控制措施不够完善。

GET /users/delete/VICTIM_ID  --> 403 Forbidden
POST /users/delete/VICTIM_ID  --> 200 OK

2.路径穿越绕过

POST /users/delete/VICTIM_ID  -->  403 Forbidden
POST /users/delete/MY_ID/../VICTIM_ID --> 200 OK
POST /users/delete/..;/delete/VICTIM_ID --> 200 OK
POST /users/delete/.;/VICTIM_ID --> 200 OK
POST /users/delete/hello/%3baaaa/VICTIM_ID --> 200 OK

3.改变Content-type(内容类型)

Content-type: application/xml  -->  Content-type: application/json

4.更换参数类型

例如将字符类型的请求替换为数值型

GET /file?id=90ri2xozifke29ikedawOd
GET /file?id=302

将请求值替换为数组类型

{"id":111} --> 401 Unauthriozied
{"id":[111]}  --> 200 OK

5.大小写替换绕过

GET /admin/profile --> 401 Unauthorized
GET /ADMIN/profile --> 200 OK

6.用通配符替换ID

GET /api/users/<user_id>/ --> GET /api/users/*

7.给Web应用提供一个请求ID

如果Web应用在请求动作中没有ID号要求,那么可以尝试给它添加一个ID号看看会发生什么。比如添加一个随机ID号、用户ID、会话ID,或是其它的对象引用参数,观察服务端的响应内容。

GET /api_v1/messages --> 200 OK
GET /api_v1/messages?user_id=victim_uuid --> 200 OK

8.HTTP参数污染

用HTTP参数污染方式针对同一参数去给它多个不同的值,这样也是可以导致IDOR漏洞的。因为Web应用可能在设计时不会料想到用户会为某个参数提交多个不同值,因此,有时可能会导致Web后端接口的访问权限绕过。

GET /api_v1/messages?user_id=ATTACKER_ID&user_id=VICTIM_ID
GET /api_v1/messages?user_id=VICTIM_ID&user_id=ATTACKER_ID

GET /api_v1/messages?user_id[]=ATTACKER_ID&user_id[]=VICTIM_ID
GET /api_v1/messages?user_id[]=VICTIM_ID&user_id[]=ATTACKER_ID

json格式也可以进行尝试

POST /api/get_profile
Content-Type: application/json
{"user_id" :<id_1>,"user_id" :<id_2>}

9.更改文件类型

切换请求文件的类型可能会导致Web服务端在授权处理上发生不同,如在请求URL后加上一个.json,看看响应结果如何。可以尝试不同的后缀名字,判断回显(例如.json .xml .config .zip)

GET /user_data/123 --> 401 Unauthorized
GET /user_data/123.json --> 200 OK

10.尝试不同版本的API

GET /v2/users_data/1234 --> 403 Forbidden
GET /v1/users_data/1234 --> 200 OK

三、任意密码重置

1、验证码未绑定用户

造成原因:输入手机号和验证码进行重置密码的时候,仅对验证码是否正确进行了判断,未对该验证码是否与手机号匹配做验证。
测试方法:在提交手机号和验证码的时候替换手机号为他人手机号进行测试,成功通过验证并重置他人密码。

2、修改接收的手机或邮箱

造成原因:用户名、手机号、验证码三者没有统一进行验证,仅判断了三者中的手机号和验证是否匹配和正确,如果正确则判断成功并进入下一流程。
测试方法:输入用户名获取验证码,修改接收验证码的手机号为自己的号码,自己手机成功接收验证码,提交到网站进行验证,验证成功并进入下一流程。

3、本地验证绕过

造成原因:客户端在本地进行验证码是否正确的判断,而该判断结果也可以在本地修改,最终导致欺骗客户端,误以为我们已经输入了正确的验证码。
测试方法:重置目标用户,输入错误验证码,修改返回包,把错误改为正确,即可绕过验证步骤,最终重置用户密码。

4、跳过验证步骤

造成原因:对修改密码的步骤,没有做校验导致可以直接输入最终修改密码的网址,直接跳转到该页面,然后输入新密码达到重置密码
的目的。
测试方法:首先使用自己的账号走一次流程获取每个步骤的页面链接,然后记录页面3对应的输入新密码的链接,重置他人用户时,获取验证码后,直接输入页面3链接到新密码的界面,输入密码重置成功。

image-20230227101238949

5、未校验用户字段的值

造成原因:在整个重置密码的流程中,只对验证码和手机号做了校验,未对后面设置新密码的用户身份做半判断,导致在最后一步通过修改用户身份来重置他人的密码。
测试方法:使用自己的手机号走流程,在走到最后一个设置密码的流程时,修改数据包里的用户信息。

6、cookie值的替换

造成原因:重置密码走到最后一步的时候仅判断唯一的用户标识cookie是否存在并没有判断该cookie有没有通过之前重置
密码过程的验证,导致可替换cookie重置他人用户密码。(cookie可指定用户获取)
测试方法:重置自己用户密码到达最后阶段,抓到数据包,并在第一阶段重新获取目标用户cookie,替换cookie?到我们抓取的数据包中,发包测试。

image-20230227102324541

7、修改信息时替换字段信息

造成原因:邮箱重置密码或者手机号码重置密码的时候,请求中没有明显的身份标识,可以尝试增加参数值来测试是否存在MVC数据对应自动绑定漏洞。比如增加email参数及对应的自用邮箱作为参数值,看看是否能收到密码重置链接。有关这个漏洞可以看看carry_your师傅视频中的案例,以及CF_HB发过的案例,也可以看看CplusHua有关模糊测试的ppt。
测试方法:修改个人资料的时候,抓取数据包,然后来修改数据包的参数和对应的值,参数名一般可以在其他地方找到,替换隐藏参数即可修改他人的密码等信息。

案例:

image-20230227102635189

然后抓包查看参数信息

image-20230227102651335

查看下这个页面的源代码,找到了一个参数loginld,这个参数是对应用户身份的,而我们发现上面的数据包里没有这个参数,那么我们是否可以自己添加上去呢?

image-20230227102746727

image-20230227102818144

8、任意邮箱用户重置

利用国际化域名(IDN)进行密码重置:https://www.punycoder.com/

我们假设目标网站地址为https://axin.com,本次存在漏洞的接口为https://axin.com/forget-password?email=,可以看到,这是一个再普通不过的通过邮箱重置密码的功能点,但是这个接口没能正确的处理Unicode字符,也就是说,当我输入邮箱victim@gmáil.com会被规范化为victim@gmail.com,然后目标站点axin.com就会把victim@gmail.com用户的重置密码链接发送到邮箱victim@xn--gmil-6na.com中,其中xn--gmil-6na.comgmáil.com的punnycode

所以,只要我去注册gmáil.com域名,并搭建一个邮件服务器就能够完成攻击。

当然测试的时候不需要去注册邮箱这么麻烦,只需要这几步。

  • 到目标站点用邮箱victim@gmail.com.3bfqygorkwzimx55ppnmvkandej47t.burpcollaborator.net注册一个测试账号
  • 然后在重置密码的接口处输入含有Unicode字符的邮箱地址:victim@gmáil.com.3bfqygorkwzimx55ppnmvkandej47t.burpcollaborator.net,发送
  • 如果目标存在漏洞,我们就可以在collobrator client上看到目标站点发送给我们的victim@gmail.com用户的重置密码链接了

9、session覆盖

例如:https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-085843

在忘记密码的功能处通过自己账号忘记密码发送邮箱修改密码地址,然后收到邮箱的链接地址不要打开,需要在同浏览器内打开网站还是忘记密码输入要修改的账号,进行到同样的步骤,然后打开我们的邮箱链接,就可以修改他人用户的密码。

四、交易金额篡改

1、直接修改交易金额

按照流程完成校验,然后在跳转支付的最后一步,修改支付金额。由于未对具体金额校验,支付成功之后可以获取商品。

2、正负值对冲

同时购买多个物品,部分商品数量改为负数,然后总金额会小于实际应付款金额。

3、商品id修改

商品价格检测和付款校验是分布进行的,首先利用低价A商品绕过商品价格检测,然后替换商品id进行B商品的购买,可以利用低价购买B商品。

4、利用多平台数据不同步的特性,进行支付绕过

案例:肯德基

利用肯德基APP客户端和微信客户端之间的数据不同步,首先在其中一个客户端用套餐兑换券下单待支付,在另一个客户端操作对兑换券退款,退款之后把订单取消可以重新获取一个兑换券,也可以再退款之后使用优惠券获得取餐码。

参考文章

越权漏洞测试技巧

IODR案例总结

tomyyyyy
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XRCross:XRCross是一个重构,扫描程序,并且是渗透BugBounty测试的工具。 该工具旨在测试(XSS | SSRF | CORS | SSTI | IDOR | RCE | LFI | SQLI)漏洞
03-31
XRCross(侦察) 细节 关于XRCross XRCross is a Reconstruction, Scanner, and a tool for penetration / BugBounty testing. This tool was built to test (XSS|SSRF|CORS|SSTI|IDOR|RCE|LFI|SQLI) vulnerabilities :check_mark: 选项: Example: XRCross -u/--url example.site <arguments> Optional Arguments: -h /--help | show this help message and exit -u /--ur
什么是IDOR(不安全的直接对象引用)
weixin_43006749的博客
08-29 8464
自从2010年开始,不安全的直接对象引用(IDOR)就已经成为了OWASP Top 10 Web应用安全风险中影响程度排名第四的安全漏洞了。 IDOR将允许一名授权用户获取其他用户的信息,意指一个已经授权的用户通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。Web应用往往在生成Web页面或服务时会用它的真实名字,且并不会对所有目标对象的请求访问进行用户权限检测,所以这就造成了不安...
开源API越权漏洞检测系统推荐:IDOR_detect_tool
程序猿DD
03-08 461
相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢? Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损。 而在Web应用的安全问题中,最常见的漏洞之一是不安全的直接对象引用,简称:IDOR。即:当应用程序允许用户访问他们不应该访问的资源时,就会发生IDOR漏洞。比如:SaaS软件的用户A访问到了用户B的数据,这样的漏洞是灾难性的,因为用户将不再信任
burpsuite 越权_挖洞经验 | 用BurpSuite实现越权漏洞IDOR)的自动发现识别
weixin_36307549的博客
01-14 649
这里分享一个自动化发现IDOR(越权)漏洞的方法,那就是在BurpSuite中利用Autozie和Autorepeater插件实现IDOR漏洞的探测识别,而无需针对每个请求手动去变化参数或请求。IDOR(越权)漏洞:也称“不安全的直接对象引用”,场景发生于当用户对内部资源的访问请求,或基于用户提供的输入对象进行访问时,服务端未进行合理的权限验证,导致当前用户可以未经授权访问获取到不属于自己账户权限...
burpsuite 越权_自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数...
weixin_33116629的博客
01-14 1707
IDOR(越权)漏洞:也称为“不安全的直接对象引用”,当用户请求访问内部资源或基于用户提供的输入对象进行访问,服务器未执行合理的权限验证时,发生当前用户可以未经授权访问不属于其帐户权限的资源或数据。我们可以在BurpSuite插件库Bapp中安装Autorize和Autorepeater:使用Autorize发现IDOR漏洞让我们先来看一下“Autorize”。 对于客户端发送的任何请求,它将执行...
【信息安全】浅谈IDOR越权漏洞的原理、危害和防范:直接对象引用导致的越权行为
HEX9CF的技术博客
11-19 576
IDOR的原理是攻击者通过修改对象的标识符,绕过权限验证,访问到不应该被其所见的资源。不仅要验证和过滤表单中的数据,还要对所有与对象引用相关的输入参数进行校验,包括URL中的参数、请求头中的参数等。不安全的直接对象引用(Insecure Direct Object Reference,简称IDOR)是一种安全漏洞,指在系统中直接暴露敏感对象的引用,使攻击者可以通过修改对象引用来越权访问未经授权的资源。通过使用间接引用,可以隐藏真实的对象引用,只暴露一个代理或中间层的引用,以增加攻击的难度。
SRC挖掘---web不安全的直接对象引用 (IDOR)漏洞-3day
qq_62278422的博客
04-24 1257
什么是 IDOR? 当应用程序根据用户提供的输入提供对对象的直接访问时,就会发生不安全的直接对象引用 (IDOR)。由于此漏洞,攻击者可以绕过授权并直接访问系统中的资源,例如数据库记录或文件。不安全的直接对象引用允许攻击者通过修改用于直接指向对象的参数值来绕过授权并直接访问资源。这些资源可以是属于其他用户的数据库条目、系统中的文件等等。这是因为应用程序接受用户提供的输入并使用它来检索对象而没有执行足够的授权检查。(来源:OWASP) 让我们看一个例子。想象一下,您正在使用一个文档共享平台。您可以上传..
越权漏洞(IDOR)测试技巧
qq_45244158的博客
03-01 7876
文章目录一、IDOR介绍二、常见的测试技巧1.改变HTTP请求方法2.路径穿越绕过3.改变Content-type(内容类型)4.用数字ID替换非数字5.大小写替换绕过6.用通配符替换ID7.给Web应用提供一个请求ID,哪怕它没作要求8.HTTP参数污染,为同一参数提供多个值。9.更改文件类型。添加不同的文件扩展名(例如.json, .xml, .config)10.JSON参数污染11.在请求体用数组包装参数值12.尝试不同版本的API三、总结 一、IDOR介绍 IDOR,Insecure Dire.
IDORs:它们是什么,你如何测试它们?
qq_62278422的博客
06-09 438
IDOR:不安全的直接对象引用照片由Muhannad Ajjan在Unsplash上拍摄这些类型的漏洞源于访问控制问题。我们将用另一整章来讨论这些类型的漏洞IDOR 一词因出现在 OWASP 前 10 名中而广受欢迎,但实际上它只是另一种类型的访问控制问题。IDOR 可以在水平和垂直权限提升中表现出来。要说IDOR,必须满足以下条件:这些术语可能看起来很抽象,所以让我们看一个例子:{personId:23,name:”tester”}在这些示例中,我们可以看到发出的 POST 和 GET 请求都包含一个标
API-fuzzer:API Fuzzer,它允许使用常见的渗透测试技术来模糊请求属性并列出漏洞
02-01
以下是API_Fuzzer gem中涉及的主要检查跨站点脚本漏洞SQL注入盲SQL注入XML外部实体漏洞IDOR(在特定情况下) API速率限制开放式重定向漏洞信息披露缺陷通过标题泄漏信息跨站点请求伪造漏洞安装将此行添加到您的应用...
Pyrate:练习用python编写的Web App并存在一些漏洞
04-26
y酸盐用Python编写的易受攻击的Web应用程序。关于该应用程序经过编码,可教授Web应用程序安全性以及如何实现目标。它具有的漏洞IDOR CSRF RCE 信息披露
Gf-Patterns:GF模式(ssrf,RCE,Lfi,sqli,ssti,idor,URL重定向,debug_logic,有趣的Subs)参数grep
03-19
Gf模式V 1.9 By grep的包装器,可帮助您grep处理问题安装如果您已经安装并配置了Go,则可以使用以下命令安装waybackurls & Gf : :play_button: go get -u github....
hackerone-reports:HackerOne的最新披露的报告
04-05
HackerOne报告的顶部。 所有报告的原始信息都存储在data.csv 。 更新data.csv脚本是用Python 3编写的,并且需要selenium 。 每个脚本都包含一些有关其工作方式的信息。 脚本的运行顺序: fetcher.py filler.py rater...
美国发布玩具安全标准ASTM F963-23
yzc9311的博客
04-10 519
新版标准主要修订了声响、电池可触及性、膨胀材料和弹射玩具的技术要求,另外,澄清和调整了邻苯二甲酸酯、玩具基材重金属的豁免以及溯源标签的要求,使其保持与联邦法规和美国消费品安全委员会(CPSC)的政策一致。2)明确供14岁以下儿童使用的玩具,在使用和滥用测试前后都需符合声响要求,对于8岁至14岁儿童使用的玩具,适用36个月至96个月的儿童的使用和滥用测试要求。1) 修订了推拉玩具(以前称为推/拉玩具)和桌面、地板或婴儿床玩具的定义,使其更容易区分。1)修订了适用范围,新增接收状态为非小部件的膨胀材料。
区块链安全应用----压力测试
2201_76041915的博客
04-17 440
有一个临时的解决方案,进入node_modules/@hyperledger/caliper-fisco-bcos目录,编辑该目录下的package.json文件,在"dependencies"中添加一项"secp256k1": “^3.8.0”,随后在该目录下执行npm i,更新完成后测试程序就能启动了。变动文件二:绿色为新增的代码,红色为源代码,需要删除。在部署完成后,可以通过。:用于指定需要测试的区块链平台,即受测系统(***S***ystem ***u***nder ***T***est);
如何安全地设置MySQL数据库的IP白名单
一勺菠萝丶的博客
04-11 532
当我们谈论设置MySQL数据库的IP白名单时,我们通常是在指定哪些IP地址被允许连接到数据库服务器。这是一种安全措施,可确保只有受信任的主机可以访问数据库。以下是一个分步指南,以及如何设置MySQL的IP白名单的说明。
浏览器工作原理与实践--安全沙箱:页面和系统之间的隔离墙
echohuangshihuxue的博客
04-17 592
好了,今天的内容就介绍到这里,下面我来总结下本文的主要内容。首先我们分析了单进程浏览器在系统安全方面的不足,如果浏览器存在漏洞,那么黑客就有机会通过页面对系统发起攻击。因此在设计现代浏览器的体系架构时,就考虑到这个问题了。于是,在多进程的基础之上引入了安全沙箱,有了安全沙箱,就可以将操作系统和渲染进程进行隔离,这样即便渲染进程由于漏洞被攻击,也不会影响到操作系统的。
安科瑞用于养老院医院学校社区等各类低压场所AISD电气火灾智能安全配电装置/电不起火电不漏电电不伤人/接地故障
acrelxyy的博客
04-17 158
产品主要应用于学校、加油站、医院、银行、疗养院、康复中心、敬老院、酒店宾馆、商场商铺、企事业单位、家庭电器、旅游景点等各类低压用电的场所,为场所内用电设备提供安全可靠的供电。◆医院:儿童病房、新生儿沐浴区、普通病房插座、以及自动门、路灯、草坪灯、监控、喷泉等公共用电。◆学校:学生宿舍、食堂公共区、实验室/教室、自动门、路灯、草坪灯、喷泉、沐浴室、充电桩等。◆景区:索道、摩天轮、景观照明、喷泉、入口闸门、充电桩、宿舍、厨房、餐厅、安防监控等。一旦保护产品运行异常或保护功能丧失,仍然无法保障供电系统的安全
杀死那个名为360安全的软件
最新发布
2401_83799022的博客
04-17 132
但是,当你想当然的去启动它的exe以此获得白名单时,你会发现启动的exe不能注入,不能写。2023年底,闲来没事想起了xjun师傅2021年发的procexp驱动利用帖子时在群里讨论的,通过procexp驱动突破PPL后注入到csrss进程中,再通过csrss来结束那些个安全防护软件。在上面的启动白名单的exe获得的句柄权限是最高权限,但并没有操作的空间。在360FsFlt的回调中,存在一个白名单,而这个白名单为360安装目录下的exe,每当运行后都会记录对应的pid。那么我们的利用链就可以是。
web漏洞挖掘 实战
08-29
7. 不安全的直接对象引用(IDOR):尝试直接访问应用程序中的资源,绕过身份验证和授权检查,查看是否存在未受保护的敏感信息。 8. 服务器配置错误:检查目标服务器的配置文件,查看是否存在敏感信息泄露、目录列表...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值