【网络安全】漏洞挖掘:IDOR实例

未经许可,不得转载。

文章目录

      • 正文

正文

img

某提交系统,可以选择打印或下载passport。

【网络安全】漏洞挖掘:IDOR实例_第1张图片

点击Documents > Download后,应用程序将执行 HTTP GET 请求:

/production/api/v1/attachment?id=4550381&enamemId=123888

id为文件id,enameID为用户身份id。

更改id为4550380,发现能够未授权下载他人passport,因此,遍历即可访问500,000本passport。

原文出处:
https://offsec01.medium.com/how-i-prevented-a-data-breach-by-reporting-an-idor-in-a-system-exposing-over-500-000-us-passports-bc6bec99aa3d

你可能感兴趣的:(网络安全,web安全,漏洞挖掘)