当前位置：首页 > 文章 > 代码审计

简简单单的IDOR导致大量信息泄露

admin2周前 (12-30)代码审计79

摘要：很早之前的授权渗透，系统还是那一如既往的登录系统，不过这次好一点的，有注册功能，还没有开始就能预测到顺利的结局。…

很早之前的授权渗透，系统还是那一如既往的登录系统，不过这次好一点的，有注册功能，还没有开始就能预测到顺利的结局。

话不多说，直接上正文，按照注册流程先注册一个账号先，然后登录系统。

emmmm，似乎还挺人道的，并不是一些中看不中用的功能，而且可看的功能还不少。

而且一上来就是王炸，因为我是新创建的账号，所以信息这里是空的，但是看过我前面文章的都知道，有时候会有那么个逻辑漏洞，置空过滤参数可能获取系统其它的信息，带着同样的想法，小小的检索了一下。

emmm，虽然没有预期的效果，但是也不差，置空参数虽然没有给出系统所有信息值，但是输入任意姓名却能检索到其他用户敏感信息，好家伙，而且还都没有脱敏。

这么看来这个系统可能只是简单的前端校验，并没有在后端对凭证权限进行校验。那么可能其他点也存在，直接一个一个尝试，事实证明我的想法很有道理。

申请报文中存在一个API，可遍历ID获取系统用户敏感信息，至于这个ID值是在上个接口里面找到的值拼接进去的，主打就是丝滑，打完收工。

扫描二维码推送至手机访问。

没有更早的文章了…

这是挺久之前的一次授权测试了，回看还是觉得这个漏洞挺有意思的，有时候都在想这似乎是开发老哥给自己留的小后门（玩笑玩笑），不多说，直接开始正文吧。…