ソース:
脆弱性:IDOR
訳:
1. エンドポイントを見つける
プライベート プロジェクト内で、単なる空白のページにすぎない Web ページに遭遇し。
明らかに、ページには数文字しかありません。
そこで、F12 開発者ツールを利用して、JavaScript が追加情報を提供するかどうかを調べました。
幸運なことに、API からデータを取得できる複数のエンドポイントが見つかりました。
2.パラメータの取得
次に、パラメーターをファジングする必要があります。
しかし、驚いたことに、パラメータ名ファジングの構築を初期化すると、返信パケットが不足しているパラメータ名を直接示していました。
3.ファジング&&IDOR
次に、パラメータの内容をファズします。
パラメータはすべて数値であるはずだと思いますが、桁数がわかりません。
次のファズを試してください。
ユーザー情報の取得に成功しました
これらの手順に従って、脆弱性の詳細を記載したレポートを提出しました。 この脆弱性はその後認められ、私には 200 ドルの報奨金が与えられました。
ほなほな。
