ToB企服应用市场:ToB评测及商务社交产业平台
标题:
【网络安全】IDOR实现ATO(账户接受)
[打印本页]
作者:
西河刘卡车医
时间:
2024-8-11 19:42
标题:
【网络安全】IDOR实现ATO(账户接受)
未经许可,不得转载。
正文
目标站点:target.com,注册A账号和B账号。
A账号查看个人资料(包括用户名、密码)的请求包大抵为:
GET /api/v1/user/profile?
user_id=273948261&auth_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWI
iOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxw
RJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c×tamp=1349328731
复制代码
对于B账号,请求包大抵为:
GET /api/v1/user/profile?
user_id=273948262&auth_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ
zdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkF0dGVudG9yIiwiaWF0IjoxNjQ5MjQwNjcwL
CJleHAiOjE2NDkyNDExNzB9×tamp=1349328752
复制代码
可以看到,user_id是逐个递增的,这为后面实现任意账户接受提供了条件。
将A请求包中的user_id修改为B的,但返回错误,阐明大概是
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)
Powered by Discuz! X3.4
