HackerOneのレポート読む13
今回はこちら
https://hackerone.com/reports/783708
タイトルは
IDOR in semrush academy
IDORについて、以下の資料みます!
Insecure Direct Object Reference Vulnerability - by PwnFunction
https://www.youtube.com/watch?v=rloqMGcPMkI
Finding Your First Bug: Manual IDOR Hunting - by Insider PhD
https://www.youtube.com/watch?v=gINAtzdccts
Burp Suite tutorial: IDOR vulnerability automation using Autorize and AutoRepeater (bug bounty) - by STÖK & Fisher
https://www.youtube.com/watch?v=3K1-a7dnA60
IDORについては別でまとめたいですね…
今回の事象としては、
例として特定の講座に参加するケースを考えている
特定のユーザーのIDを取得している状況であれば、
別ユーザーとしてログインしていても、
そのIDを渡すことで特定ユーザーを任意の講座に参加させることが可能
ただし、このユーザーID自体はブルートフォースで見つけられるようなシンプルなものではないようです。
開発者もそれを指摘しています。
それに対して、レポート記載者は、
この脆弱性の本質的な話をしています。
・今回のIDがブルートフォースで確実に破られない保証はない
・自身で作成したアカウントのIDを足がかりに特定されてしまう可能性がある
・他に潜むなんらかのバグで他人としてログインできてしまった場合、そのユーザーのIDは標的になってしまう
・仮に一度ユーザーIDが漏れてしまえば、仕組み上変更が難しい
これらを理由に説明した結果、
開発者側も納得したようです。
この脆弱性には、
505ドルが支払われています。
ちなみに、このレポートでは、
CVSSの計算結果についても述べられており、
攻撃の複雑性が計算結果に大きく寄与していることを説明しています。
これを自分なりに調べてみると…
というか別で書こう…
参考
https://jvndb.jvn.jp/cvss/en/v3.html#CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:H/A:N
以上。