漏洞公告团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > 漏洞公告 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

IDOR越权漏洞:Airbnb平台被窃取房东资金

文章来源：重庆网络安全围观次数：

分享到:

摘要：漏洞将至少影响Airbnb平台中房东帐户的20％至30％。攻击者只需使用漏洞即可添加自己的银行帐户，随后房东的付款将流入攻击者的银行帐户并成为攻击者所有。

Airbnb,为游客和房东提供的中间服务平台。通过这个平台，它可以为有房间的房东提供短期租赁服务。包括度假公寓，公寓出租，寄宿家庭，旅馆床铺或酒店房间等，它还使旅行者能够通过网站或手机预订世界各地的各种独特房屋，并且是共享经济发展的代表之一。 Airbnb没有任何住宿房间，它只是房客和房东之间的中介经纪人平台。收入来源是每次预订时从客人和房东收取的服务费（佣金）的一定百分比。

IDOR，不安全直接对象引用，也称为越权漏洞。当场景是基于用户提供的输入对象进行访问时，Web应用程序不执行权限验证，也不检查当前访问请求是否具有对该对象的目标访问权限，从而导致IDOR漏洞。 IDOR漏洞属于无效访问控制的类别。也可以说是逻辑漏洞或访问控制漏洞。测试人员可以通过更改请求参数的值来确定漏洞的类型，而开发人员可以通过源代码分析来确定权限验证是否合理。

当房东在Airbnb平台上设置付款设置时，Airbnb首先需要添加一个付款帐户。如果添加成功，它将为房东生成一个付款ID-payout_ID。该付款ID稍后将用于跨境付款服务提供商。 Payoneer生成的收款人帐户链接，通过该链接您将被重定向到用于添加银行帐户的页面。在此页面上，房东可以填写其银行收款人帐户，以供将来的客户付款。但是，在房东的付款ID（payout_ID）生成和添加银行帐户的链接的过程中存在IDOR漏洞。 Airbnb仅确认付款ID（payout_ID）的有效性，但未验证用户的实际权限。因此，如果攻击者获得了指向房东的银行帐户添加页面的链接，则攻击者可以用其Airbnb身份验证令牌（authenticity_token）替换房东的令牌（authenticity_token），并成功跳转到属于房东的银行帐户添加页面，并且您可以添加自己的银行帐户，以达到窃取房东的托收资金的目的。

1.在Airbnb平台上创建一个受害者帐户（受害者），并在设置中添加付款帐户信息；

2.启用BurpSuite捕获数据包。添加接收帐户后，您可以在BurpSuite中捕获以下POST数据包：

POST /users/payoneer_account_redirect/[payout_ID] HTTP/1.1

Host: www.airbnb.co.in

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate, br

Referer: https://www.airbnb.co.in/users/payout_preferences/115687601/new

Cookie: [cookie_values]

Connection: close

Upgrade-Insecure-Requests: 1