ソース:
脆弱性:Insecure Design
Insecure Design:
訳:
概要:
PII は個人を特定できる情報の略で。
これは、お客様の氏名、社会保障番号、納税者番号、運転免許証番号、PAN カード番号、携帯電話番号、住所など、個人の身元を特定するのに役立つ一種のデータで。
この種の問題は、個人情報に違反する可能性があります。
インターネット上のあらゆる人のプライバシー。
説明:
私は、HackerOne のプライベート プログラムの 1 つで、顧客名と保留中の請求金額が漏洩するというこの問題を発見し。
最初は Google dorks を使用して情報を検索し、いくつかの PDF レポートを見つけましたが、徹底的に検索した後、それらの PDF 情報が公開されていることに気づき。
すべての PDF レポートに共通する点が 1 つあり、その情報は請求書の支払いに関するものであるため、特定のレポートが誰に属しているか、未払いの金額があるかどうかについては言及されてなく。 の機能を持つドメインを見つけたので Google dorks を使用してサブドメインを列挙した後、「請求書番号」 、ランダムに請求書番号を入力しましたが、エラーが発生しました。
年といくつかの乱数 ( 例: <year>–13659 私が見つけた PDF レポートには、名前として ) が含まれていることに気づいたので、年なしの数字を入力すると結果が得られ、顧客名を確認することができ。
保留中の金額や支払い済みの金額もあり。
この脆弱性の見つけ方
1.請求書を確認するためにGoogle dorksを使用しましたが、すでに公開されているPDFレポートを見つけ。
google dorks
google dorks
2.その後、サブドメインを列挙し、 「請求書」機能があることを発見し。 1 つのドメインに。
請求書の機能
3. 乱数を入力しましたがエラーが発生しました
無効な請求書
4. 次に、公開されている PDF レポートのディレクトリを開きました。
公開されているレポート
ID 付きのレポート ファイル
5. 次に、ファイル名「 13656 」から請求書番号を入力し、結果を取得しました
請求書ID
結果
6. 次に、別の請求書 ID を入力して結果を確認しました
結果
結果
なぜそれが起こったのでしょうか?
私の意見では、この種のデータ漏洩の主な理由は、そのデータに関連する不適切なセキュリティ ポリシーです。
このタイプのデータがどこからでもアクセスできる状態でサーバーにアップロードされると、Web 検索クローラーによってインデックスが付けられます。
このデータのインデックス作成が回避されず、必要なセキュリティ ポリシーが設定されていなかったため、この脆弱性が発生しました。
Dorks Used :
- site:target.gov “invoice” - for identifying invoices of users from one domain
- site:*.target.gov - for enumerating subdomains
- site:*.target.gov “invoice” - for identifying invoices of users from all domains
インパクト :
この種のデータは、インターネット上のすべてのユーザーのプライバシーを侵害する可能性があります。 攻撃者はこの脆弱性を利用して、被害者のすべての個人情報を盗む可能性があります。
ほなほな。
