ソース:
脆弱性:IDOR
訳:
銀行からのオファーを発見しました。
これは私が先月試したのと同じ銀行からのオファーであることにすぐに気づきました。
銀行は通常、新しい口座を開設するためにこれらのオファーを顧客に送信し、「年会費無料および/または初回年利0%」などの特典を提供する傾向があります。
長いランニングの後にシャワーを浴びた後、PC の前に座ってオファーにアクセスしました。
予約コードとアクセスコードの両方を入力しました。
次にサーバーは、次のようなアクセスエンコードされたキーを使用して私をリダイレクトしました。
https://apply.bxmbnbank.com/?ridNumber=U2fsdGXkX1%2FD2t6FFmuvS7zVam%2Bvp9avVFbxQYrTM1Sa6e7y876LHulztDoJvxue
をデコードできるかどうか興味がありました 自分のオファーにアクセスすると、すべての個人情報がそこに保存されていました。
そこで、別のユーザーのオファーにアクセスするために、何らかの方法でRidNumber 。
すぐに応答を調べたところ、 ridNumber というパラメーターも見つかりました。
URL に含まれていたものですが、これには数値が含まれており、エンコードされていませんでした。
ああ、これはデコードされたバージョンかもしれない、うまくいくだろうか、と思いました。
https://apply.bxmbnbank.com/?ridNumber=0075514045460235
それはうまくいきました!
驚いたことに、サーバーはデコードされたバージョンを受け入れました。
IDOR に対して脆弱ではないかと思い始めました。
最後の 2 つの番号を変更し、 0075514045460243 まったく別のユーザーに属する を提供するためのアクセスを取得しました。
そして念のため、 0075514045460241 と 0075514045460255 を試し、それらの PII も明らかにし、そこで停止して報告しました。
この脆弱性により、攻撃者が他のユーザーのオファーにアクセスし、氏名、住所、電子メール、電話番号、生年月日などの個人を特定できる機密情報が漏洩する可能性があります。
この銀行が非常に活発な報奨金プログラムを実施していることを考えると、この問題がこれまで報告されていなかったことに驚きました。
アメリカ最大の銀行の一つでもあります。
これは、応答内のすべての値を検査し、必要に応じて常識を適用することの重要性を強調しています。
ほなほな。
