怎么通過(guò)參數(shù)污染繞過(guò)IDOR

這篇文章將為大家詳細(xì)講解有關(guān)怎么通過(guò)參數(shù)污染繞過(guò)IDOR，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

在一次滲透測(cè)試過(guò)程中，我偶然間發(fā)現(xiàn)了一個(gè)有趣的IDOR（不安全的直接對(duì)象引用）漏洞，通過(guò)使用參數(shù)污染技術(shù)（利用一個(gè)被忽略的測(cè)試用例），攻擊者將能夠成功地在目標(biāo)站點(diǎn)上實(shí)現(xiàn)IDOR繞過(guò)。

當(dāng)時(shí)，我嘗試在目標(biāo)應(yīng)用程序所部屬的REST API中尋找IDOR漏洞，但不幸的是，目標(biāo)站點(diǎn)中沒(méi)有一個(gè)節(jié)點(diǎn)存在傳統(tǒng)的IDOR漏洞。不過(guò)，經(jīng)過(guò)我的一番努力，我發(fā)現(xiàn)通過(guò)多次提供相同的參數(shù)名，并且使用不同的參數(shù)值，我們就可以在目標(biāo)應(yīng)用上成功實(shí)現(xiàn)IDOR繞過(guò)了。

接下來(lái)，我將跟大家介紹如何使用參數(shù)污染技術(shù)來(lái)實(shí)現(xiàn)IDOR繞過(guò)。

假設(shè)我們的賬號(hào)的UserID為123，為了測(cè)試IDOR，我們可以將UserID的值從之前的123修改為另一個(gè)用戶賬號(hào)的UserID-456。如果目標(biāo)應(yīng)用程序不存在傳統(tǒng)的IDOR漏洞，那么我們將會(huì)接收到“401 未認(rèn)證”的狀態(tài)提示。

此時(shí)，為了實(shí)現(xiàn)IDOR繞過(guò)，我們需要使用參數(shù)污染技術(shù)，即傳遞兩個(gè)UserID參數(shù)，其中一個(gè)包含目標(biāo)賬號(hào)的UserID，另一個(gè)參數(shù)需要包含你賬號(hào)的UserID。

下圖顯示的是我們所發(fā)送的樣本請(qǐng)求：

在滲透測(cè)試的過(guò)程中，我也遇到了類(lèi)似的場(chǎng)景。我的測(cè)試目標(biāo)是一個(gè)REST API節(jié)點(diǎn)，這個(gè)應(yīng)用程序節(jié)點(diǎn)表現(xiàn)出了以下行為：

1、檢測(cè)第一個(gè)UserID參數(shù)；

2、發(fā)送請(qǐng)求的用戶需要在GET請(qǐng)求中包含他們的UserID；

在這樣的場(chǎng)景下，我們只需要在原請(qǐng)求的基礎(chǔ)上，增加至兩個(gè)UserID參數(shù)就可以實(shí)現(xiàn)IDOR繞過(guò)了。其中的第一個(gè)UserID就是目標(biāo)用戶賬號(hào)的UserID，另一個(gè)就是攻擊者賬號(hào)的UserID，這樣一來(lái)，我們就可以欺騙目標(biāo)應(yīng)用程序并讓它認(rèn)為我們所發(fā)送的是一個(gè)真實(shí)的合法請(qǐng)求了。

我賬戶的個(gè)人資料會(huì)顯示我的全名以及其他相關(guān)信息，但這些信息不會(huì)顯示給其他的用戶。

我們所構(gòu)造的惡意請(qǐng)求中需要包含我賬號(hào)的UserID，需要注意的是，我在這里做了大多數(shù)滲透測(cè)試人員都會(huì)做的事情，也就是將請(qǐng)求中的UserID修改為了另一個(gè)用戶賬號(hào)的UserID。

但不幸的是，啥也沒(méi)有發(fā)生...而且我還接收到了一個(gè)401未授權(quán)錯(cuò)誤，簡(jiǎn)直悲??！

下圖顯示的是無(wú)法繞過(guò)傳統(tǒng)IDOR的請(qǐng)求信息：

考慮到參數(shù)污染技術(shù)的實(shí)現(xiàn)，我嘗試在測(cè)試樣例（請(qǐng)求）中添加了我自己的UserID參數(shù)以及目標(biāo)用戶的UserID，并以此來(lái)嘗試訪問(wèn)目標(biāo)用戶的個(gè)人資料。

想必大家也猜到了，這一次我成功了！

下圖顯示的是我們利用參數(shù)污染技術(shù)構(gòu)建的IDOR繞過(guò)請(qǐng)求：

沒(méi)錯(cuò)，通過(guò)結(jié)合參數(shù)污染技術(shù)構(gòu)造出來(lái)的惡意請(qǐng)求，我成功拿到了目標(biāo)用戶的全名以及很多不會(huì)公開(kāi)的敏感信息。不僅如此，由于幾乎目標(biāo)應(yīng)用程序的所有參數(shù)都無(wú)法抵御這種攻擊，因此這種安全問(wèn)題將會(huì)給這個(gè)應(yīng)用程序帶來(lái)“毀滅性”的打擊。

關(guān)于怎么通過(guò)參數(shù)污染繞過(guò)IDOR就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。