记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【渗透测试】联合国 IDOR 漏洞报告

2021-08-21 11:35

点击上方蓝字“Ots安全”一起玩耍

这是我在联合国门户网站上找到的关于 IDOR 漏洞的文章。


我选择了我的目标联合国,并从侦察开始并列举了所有的子域。


将目标选择为ideas.unite.un.org 后,我能够找到注册和登录页面,并尝试探索不同的攻击媒介。


我很快注册了两个不同的帐户并在不同的端点上进行了测试。


我观察到这些帐户在对帐户进行任何更改时传递了各自的唯一帐户 ID,这很容易被猜到。

所以我决定将帐户 userId 与另一个帐户 ID 交换并发送请求。我可以成功执行 IDOR 漏洞。


通过利用此漏洞,我尝试更改其他用户的语言,并且对我有用

在拦截修改帐户详细信息端点的请求时,POST 数据上的 userId 可以被其他用户 id 篡改。

因此,有了这个,我就能够成功执行 IDOR 攻击并能够修改任何其他用户帐户详细信息。在这种情况下,我更改了其他用户的语言。

成功利用 IDOR 漏洞导致修改其他用户详细信息。

在向联合国安全小组报告这个问题时,我第二次在他们的名人堂页面上得到承认


知识来源: https://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247492828&idx=1&sn=4d092bdd3a06d40b5dc49628816a1a40

阅读:12691 | 评论:0 | 标签:漏洞 渗透

想收藏或者和大家分享这篇好文章→复制链接地址

“【渗透测试】联合国 IDOR 漏洞报告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云