通过IDOR实现权限提升导致未授权用户注入
再次问候,我是Omar,今天我想与大家分享我在YesWeHack公开漏洞赏金项目中的第一个赏金收获,以及一个有趣的权限提升漏洞。
项目概述
该项目主要功能是让用户能够远程管理设备,通过将设备添加到群组中,并可以为这些群组分配具有不同权限的管理者来管理设备。
测试过程
在开始测试之前,我花费了2到3天的时间来审查该项目。
正如所述,我们可以在此应用程序中添加联系人,因此我创建了两个账户并将它们连接起来。
之后,导航到设备标签页,您可以从联系人中添加管理者并为他们分配权限。
将管理者添加到我的设备并为其分配角色后,您可以稍后更改其权限。
请求如下所示:
![请求截图]
正如我们所看到的,有一个名为"contactId"的参数。
是的,正如你所想,我将ID更改为任意ID。
然后返回了200 OK:check_mark_button:!!!!!!!!!!
快速导航到网站查看发生了什么。
实际上,看到任意用户被添加到你的群组中有点好笑:face_with_tears_of_joy:。
请注意,这不仅仅是IDOR漏洞,因为我能够以所有者身份添加用户(这很正常),但不同之处在于我能够绕过添加用户的范围限制(原本只能添加我的联系人)。
就这样,我报告了该漏洞并获得了赏金。
![赏金截图]
最后我想说的是,在测试了几乎所有可能想到的想法和功能后,我才发现了这个漏洞,经过一段时间的测试,这是唯一有效的方法,所以请保持耐心。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
