今回はこちら

https://hackerone.com/reports/783708

タイトルは

IDOR in semrush academy

IDORについて、以下の資料みます！

Insecure Direct Object Reference Vulnerability - by PwnFunction

https://www.youtube.com/watch?v=rloqMGcPMkI

Finding Your First Bug: Manual IDOR Hunting - by Insider PhD

https://www.youtube.com/watch?v=gINAtzdccts

Burp Suite tutorial: IDOR vulnerability automation using Autorize and AutoRepeater (bug bounty) - by STÖK & Fisher

https://www.youtube.com/watch?v=3K1-a7dnA60

IDORについては別でまとめたいですね…

今回の事象としては、

例として特定の講座に参加するケースを考えている

特定のユーザーのIDを取得している状況であれば、

別ユーザーとしてログインしていても、

そのIDを渡すことで特定ユーザーを任意の講座に参加させることが可能

ただし、このユーザーID自体はブルートフォースで見つけられるようなシンプルなものではないようです。

開発者もそれを指摘しています。

それに対して、レポート記載者は、

この脆弱性の本質的な話をしています。

・今回のIDがブルートフォースで確実に破られない保証はない

・自身で作成したアカウントのIDを足がかりに特定されてしまう可能性がある

・他に潜むなんらかのバグで他人としてログインできてしまった場合、そのユーザーのIDは標的になってしまう

・仮に一度ユーザーIDが漏れてしまえば、仕組み上変更が難しい

これらを理由に説明した結果、

開発者側も納得したようです。

この脆弱性には、

505ドルが支払われています。

ちなみに、このレポートでは、

CVSSの計算結果についても述べられており、

攻撃の複雑性が計算結果に大きく寄与していることを説明しています。

これを自分なりに調べてみると…

というか別で書こう…

参考

https://jvndb.jvn.jp/cvss/en/v3.html#CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:H/A:N

以上。