在一次渗透测试过程中,我偶然间发现了一个有趣的IDOR(不安全的直接对象引用)漏洞,通过使用参数污染技术(利用一个被忽略的测试用例),攻击者将能够成功地在目标站点上实现IDOR绕过。
当时,我尝试在目标应用程序所部属的REST API中寻找IDOR漏洞,但不幸的是,目标站点中没有一个节点存在传统的IDOR漏洞。不过,经过我的一番努力,我发现通过多次提供相同的参数名,并且使用不同的参数值,我们就可以在目标应用上成功实现IDOR绕过了。
接下来,我将跟大家介绍如何使用参数污染技术来实现IDOR绕过。
假设我们的账号的UserID为123,为了测试IDOR,我们可以将UserID的值从之前的123修改为另一个用户账号的UserID-456。如果目标应用程序不存在传统的IDOR漏洞,那么我们将会接收到“401 未认证”的状态提示。
此时,为了实现IDOR绕过,我们需要使用参数污染技术,即传递两个UserID参数,其中一个包含目标账号的UserID,另一个参数需要包含你账号的UserID。
下图显示的是我们所发送的样本请求:
在渗透测试的过程中,我也遇到了类似的场景。我的测试目标是一个REST API节点,这个应用程序节点表现出了以下行为:
1、检测第一个UserID参数;
2、发送请求的用户需要在GET请求中包含他们的UserID;
在这样的场景下,我们只需要在原请求的基础上,增加至两个UserID参数就可以实现IDOR绕过了。其中的第一个UserID就是目标用户账号的UserID,另一个就是攻击者账号的UserID,这样一来,我们就可以欺骗目标应用程序并让它认为我们所发送的是一个真实的合法请求了。
我账户的个人资料会显示我的全名以及其他相关信息,但这些信息不会显示给其他的用户。
我们所构造的恶意请求中需要包含我账号的UserID,需要注意的是,我在这里做了大多数渗透测试人员都会做的事情,也就是将请求中的UserID修改为了另一个用户账号的UserID。
但不幸的是,啥也没有发生...而且我还接收到了一个401未授权错误,简直悲剧!
下图显示的是无法绕过传统IDOR的请求信息:
考虑到参数污染技术的实现,我尝试在测试样例(请求)中添加了我自己的UserID参数以及目标用户的UserID,并以此来尝试访问目标用户的个人资料。
想必大家也猜到了,这一次我成功了!
下图显示的是我们利用参数污染技术构建的IDOR绕过请求:
没错,通过结合参数污染技术构造出来的恶意请求,我成功拿到了目标用户的全名以及很多不会公开的敏感信息。不仅如此,由于几乎目标应用程序的所有参数都无法抵御这种攻击,因此这种安全问题将会给这个应用程序带来“毁灭性”的打击。
* 参考来源:medium,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM