第一篇翻译:越权漏洞

原文:Change Anyone’s profile picture-Exploiting IDOR

漏洞:未授权更改用户信息

作者:Rupika Luhach

难度:低

Hello Guys!!

  这是我的第一篇博客文章,接下来我将给大家介绍一个在印度的Bug赏金平台官网发现的IDOR漏洞—它允许我修改任意用户的头像信息!

IDOR漏洞:

  IDOR将允许一名授权用户获取其他用户的信息,意指一个已经授权的用户通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。

[*] 上面是专业解释,看完接下来的漏洞复现流程自然就懂了!

漏洞复现:

  1. 首先我创建了两个账号,Rupika Luhach 作为攻击者账号,Test User 充当受害者

  2. 接下来我在攻击者 Rupika Luhach 个人首页上传一张头像,然后用burpsuit 抓包观察传递的参数信息,可以发现攻击者的ID=84。同样的方法得到受害者的ID=85

  

  3. 重新上传攻击者的头像,然后burpsuit 抓包,将ID参数的值更改为受害者的ID–85

  4. 最后可以看到受害者Test User的头像被篡改了

[*] 初始头像

[*] 篡改后的头像

视屏演示:

打赏译者

文章目录
  1. 1. 原文:Change Anyone’s profile picture-Exploiting IDOR
  2. 2. 漏洞:未授权更改用户信息
  3. 3. 作者:Rupika Luhach
  4. 4. 难度:低
  • Hello Guys!!
    1. 1.   这是我的第一篇博客文章,接下来我将给大家介绍一个在印度的Bug赏金平台官网发现的IDOR漏洞—它允许我修改任意用户的头像信息!
  • IDOR漏洞:
    1. 1.   IDOR将允许一名授权用户获取其他用户的信息,意指一个已经授权的用户通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。
    2. 2. [*] 上面是专业解释,看完接下来的漏洞复现流程自然就懂了!
  • 漏洞复现:
    1. 1.   1. 首先我创建了两个账号,Rupika Luhach 作为攻击者账号,Test User 充当受害者
    2. 2.   2. 接下来我在攻击者 Rupika Luhach 个人首页上传一张头像,然后用burpsuit 抓包观察传递的参数信息,可以发现攻击者的ID=84。同样的方法得到受害者的ID=85
    3. 3.   
    4. 4.   3. 重新上传攻击者的头像,然后burpsuit 抓包,将ID参数的值更改为受害者的ID–85
    5. 5.   4. 最后可以看到受害者Test User的头像被篡改了
    6. 6. [*] 初始头像
    7. 7. [*] 篡改后的头像
  • 视屏演示:
  • 打赏译者
  • |