在一次渗透测试全过程中,我无意间发觉了一个趣味的IDOR(不安全性的立即目标引入)系统漏洞,根据应用主要参数环境污染技术性(运用一个被忽视的测试用例),网络攻击将可以取得成功地在总体目标网站上保持IDOR避过。
那时候,我试着在总体目标程序运行所下属的RESTAPI中找寻IDOR系统漏洞,但遗憾的是,总体目标网站中沒有一个连接点存有传统式的IDOR系统漏洞。但是,历经我的一番勤奋,我发现了根据数次出示同样的主要参数名,而且应用不一样的变量值,我们就能够在总体目标运用上取得成功保持IDOR避过了。
接下去,我将跟大伙儿详细介绍怎么使用主要参数环境污染技术性来保持IDOR避过。
假定我们的账户的UserID为123,以便检测IDOR,我们能够将UserID的值从以前的123改动为另一个客户账户的UserID-456。假如总体目标程序运行不会有传统式的IDOR系统漏洞,那麼我们将会接受到“401未验证”的情况提醒。
这时,以便保持IDOR避过,我们必须应用主要参数环境污染技术性,即传送2个UserID主要参数,在其中一个包括总体目标账户的UserID,另一个主要参数必须包括你账户的UserID。
下面的图显示信息的是我们所推送的样版恳求:
在网站安全渗透测试的全过程中,因为我碰到了相近的情景。我的检测总体目标是一个RESTAPI连接点,这一程序运行连接点主要表现出了下列个人行为:
1、检验第一个UserID主要参数;
2、推送恳求的客户必须在GET恳求中包括她们的UserID;
在那样的情景下,我们只必须在原恳求的基本上,提升至2个UserID主要参数就能够保持IDOR避过了。在其中的第一个UserID就是说总体目标客户账户的UserID,另一个就是说网络攻击账户的UserID,这样一来,我们就能够蒙骗总体目标程序运行并让它觉得我们所推送的是一个真正的合理合法恳求了。
我帐户的个人信息会显示信息我的全称及其别的基本信息,但这种信息内容不容易显示信息给别的的客户。
我们所结构的故意恳求中必须包括我账户的UserID,必须留意的是,我在这干了大部分渗透测试工作人员都是做的事儿,也就是说将恳求中的UserID改动以便另一个客户账户的UserID。
但遗憾的是,啥都没有产生…并且我都接受来到一个401未受权不正确,真是不幸!
下面的图显示信息的是没法避过传统式IDOR的恳求信息内容:
充分考虑主要参数环境污染技术性的保持,我试着在检测示例(恳求)中加上了自己的UserID主要参数及其总体目标客户的UserID,并为此来试着浏览总体目标客户的个人信息。
想来大伙儿也猜中了,这一次我成功了!
服务器安全防护该如何防止IDOR绕过漏洞
下面的图显示信息的是我们运用主要参数环境污染技术性搭建的IDOR避过请求:
没有错,根据融合主要参数环境污染技术性结构出去的故意恳求,我取得成功取得了总体目标客户的全称及其许多不容易公布的比较敏感信息内容。值得一提的是,因为基本上总体目标程序运行的全部主要参数都没法抵挡这类进攻,因而这类安全隐患将会给这一程序运行产生“破坏性”的严厉打击。
网友评论 ()条 查看