【网络安全】IDOR实现ATO(账户接受)

未经许可，不得转载。
  
  

正文

目标站点：target.com，注册A账号和B账号。
A账号查看个人资料（包括用户名、密码）的请求包大抵为：

1. GET /api/v1/user/profile?
2. user_id=273948261&auth_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWI
3. iOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxw
4. RJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c&timestamp=1349328731

复制代码

对于B账号，请求包大抵为：

1. GET /api/v1/user/profile?
2. user_id=273948262&auth_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ
3. zdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkF0dGVudG9yIiwiaWF0IjoxNjQ5MjQwNjcwL
4. CJleHAiOjE2NDkyNDExNzB9&timestamp=1349328752

复制代码

可以看到，user_id是逐个递增的，这为后面实现任意账户接受提供了条件。
将A请求包中的user_id修改为B的，但返回错误，阐明大概是

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。