网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线： 152-150-65-006 023-68263070 扫描二维码加我微信

漏洞公告团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > 漏洞公告 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

越权漏洞（IDOR）的发现经验：用户注册、邮件订阅、意见反馈

文章来源：重庆网络安全围观次数：

分享到:

摘要：此类漏洞通常发生在Web应用程序提供给用户的基于输入的对象中。该漏洞的影响将使攻击者可以绕过授权限制并访问目标系统中不应访问的其他资源或数据。

IDOR

简而言之，假设目标网站有两个用户U1和U2，这两个用户的帐户中都存储有个人文件，但是只有他们有权查看和访问这些文件。例如，U1只能访问自己的帐户文件，而不能访问U2的帐户文件。

有一天，U1用自己的帐户访问了文件blahBlah.pdf。具体链接如下：

https://whocare.com/file/23

上面的链接假定最后一个数字23是与其帐户对应的参数，但是好奇的U1用户随意修改了数字参数，将其更改为50，然后启动访问。链接如下：

https://whocare.com/file/50

但是仅由于此更改，U1甚至在其帐户权限内看到了U2帐户的文件。

所以有什么问题？原因是在基于用户输入的直接对象访问机制中，Web应用程序缺少用于访问对象的身份验证措施。如何找到IDOR漏洞？实际上，IDOR与XSS一样广泛。只要您知道目标Web应用程序的设计体系结构或工作流程，就很容易找到它。在这里，我分享一些IDOR漏洞发现经验，仅供参考。

在用户注册表中发现IDOR漏洞

在网站注册机制中启动了数据包拦截。目标网站whocare.com调用了帐户注册API。 Burp捕获的帐户注册请求数据包如下：

POST /analytics/index.php/plus/registerportal?user_id=43657&key=344246b382b1d70c25ea14ed6f2760c6 HTTP/1.1

Content-Type: application/x-www-form-urlencoded

Content-Length: 239

Host: api.whocare.com

Connection: close

Accept-Encoding: gzip, deflate

User-Agent: okhttp/3.4.1

email=test@whocare.com&password=as&username=&firstname=tvbb&lastname=gvcz&mobile=&country=test&city=hfhdggd&birthday_full=&gender=fknefjn

可以看出，user_id参数包含在上述数据包的POST操作中。为了进行测试，我们将其修改为其他字符串的随机值，然后服务器返回的消息以以下提示响应：用户存在！更重要的是，服务器返回的信息包括与注册用户有关的姓名，电子邮件地址，联系地址等。响应报文如下：

HTTP/1.1 200 OK

Date: Tue, 05 Mar 2019 12:53:30 GMT

Content-Type: text/html

Connection: close

Set-Cookie: __cfduid=dc4d54bb59b5c4a2c8501e3ed1cd5952b1551790409; expires=Wed, 04-Mar-20 12:53:29 GMT; path=/; domain=.whocare.com; HttpOnly

Vary: Accept-Encoding

Server: cloudflare

CF-RAY: 4b2c3badddb3ce21-LHR

Content-Length: 311

{"error":"exist","user":[{"id":"34666","username":"admin","firstname":"Pappu","lastname":"Rahul","email":"admin@whocare.com","mobile":null,"gender":"male","birthday":null,"country":"","city":null,"address":null,"address1":[Reducted],"postcode":[Reducted],"ip_address":[Reducted],"app_id":[Reducted]}]}

这样，可以通过蛮力枚举用户参数user_id，并获得目标网站的很多用户信息，当然，其中还将包含管理员信息。

在“订阅”列表中找到IDOR漏洞

同样，我们将whocare.com定位为目标网站，该网站为新用户提供了订阅选项，并且可以通过用户电子邮件获取该网站的一些最新信息。在用户设置面板中，有一个取消订阅按钮。单击该按钮时，它将向注册用户发送通知链接以取消订阅。 URL如下：

http://whocare.com/deleteNewsletter/dGVzdGVybWFpbEBnbWFpbC5jb20=

如果仔细观察，可以看到末尾包含base64编码的字符串。解密后，dGVzdGVybWFpbEBnbWFpbC5jb20 =：testermail@gmail.com。该操作似乎无法验证请求的身份，因此我们在此需要其他注册用户。测试绑定的邮箱，看它是否可以为其他注册用户执行订阅取消。

这里的攻击可能性是：我们需要在目标网站上收集大量注册用户的邮箱，然后将它们编码为base64以形成字典，然后将其放入Burp的Intruder模块中，并执行自动攻击测试。为批处理用户形成了订阅取消操作。在这里，您可以全面使用上述注册表IDOR漏洞来构成更大的威胁。

在反馈电子邮件中发现了IDOR漏洞

例如，在whocare.com中，如果用户向目标网站提交反馈，则数据包如下：

POST /Services/PostContactUsEmail HTTP/1.1

Host: www.whocare.com

Connection: close

Content-Length: 327

Accept: */*

Origin: https://www.whocare.com

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Referer: https://www.whocare.com/feedback

Accept-Encoding: gzip, deflate

Accept-Language: en-US,en;q=0.9

Cookie: [REDUCTED]

ContactUs_Name_Txt=hiname&ContactUs_Email_Txt=attacker@gmail.com&ContactUs_MessageType_Txt=%D8%A7%D8%B3%D8%AA%D9%81%D8%B3%D8%A7%D8%B1&ContactUs_Department_Txt=feedback@whocare.com%23%D8%A7%D9%84%D8%AF%D8%B9%D9%85+%D8%A7%D9%84%D9%81%D9%86%D9%8A&ContactUs_MessageBody_Txtthis+is+the+comment&ContactUs_Captcha_Txt=QBAQLU

仔细查看提交的参数，它包含以下重要信息：

ContactUs_Department_Txt =将在其中接收反馈的电子邮件地址

ContactUs_Email_Txt =当前用户用来发送反馈的电子邮件地址

ContactUs_MessageBody_Txt =用户发送的反馈消息

我们可以在两个地方修改电子邮件地址：

ContactUs_Department_Txt=admin@whocare.com

ContactUs_Email_Txt =您想要发送电子邮件的任何用户的电子邮件地址，或者恶意地将其设置为网站上所有用户的电子邮件地址。

这样，所有网站用户都将从管理员的邮箱中收到一封电子邮件，可以将其用作网络钓鱼攻击的起点。

IDOR建议

1.在请求或其他操作中实施合理的访问控制措施；

2.对用户相关参数使用强加密或随机数生成。不要使用简单直接的数字形式，例如id = 3；

本文由重庆网络安全整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。