【网络安全】IDOR实现ATO(账户接受)
未经许可,不得转载。https://i-blog.csdnimg.cn/direct/4736624876e140ef9dd8124340782e9e.png
正文
目标站点:target.com,注册A账号和B账号。
A账号查看个人资料(包括用户名、密码)的请求包大抵为:
GET /api/v1/user/profile?
user_id=273948261&auth_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWI
iOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxw
RJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c×tamp=1349328731
对于B账号,请求包大抵为:
GET /api/v1/user/profile?
user_id=273948262&auth_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ
zdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkF0dGVudG9yIiwiaWF0IjoxNjQ5MjQwNjcwL
CJleHAiOjE2NDkyNDExNzB9×tamp=1349328752
可以看到,user_id是逐个递增的,这为后面实现任意账户接受提供了条件。
将A请求包中的user_id修改为B的,但返回错误,阐明大概是
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]