🧆Laboratorio: ID de usuario controlado por parámetro de solicitud, con ID de usuario impredecibles

La cuenta de Wiener, tiene el GUID y muestra la API KEY en My-Account.

Ahora bien, buscando en la pagina principal en los diversos blogs que hay nos encontramos con que carlos ha publicado varios post de blogs, como por ejm este:

Si lo analizamos desde burp con el repeater, el postID=6 es el de carlos:

Ahí está el GUID de carlos en la response, con wiener pasa lo mismo, wiener tenía un post de blog y era el postID=8, el cual es:

Considerando que si tengo el GUID en /my-account?id=e4032b40-d1a1-4038-9da5-13409e79f562 con Wiener y la pagina me muestra el API Key de Wiener, voy a cambiar el GUID por el de carlos a ver si me retorna el API Key de Carlos:

Efectivamente, entonces copiamos esa API Key

API Key - Carlos: e16YTJMx3Z5TFFu9W4J6fsZpHDbPySke

Y lo enviamos en el Submit Solution de la pagina.

Y Asi es como lo resolvimos manteniendo un escalamiento horizontal en el cual pudimos acceder al panel de carlos siendo nosotros wiener, por malas practicas de desarrollo.

PreviousLaboratorio: ID de usuario controlado por parámetro de solicitud NextLaboratorio: ID de usuario controlado por parámetro de solicitud con fuga de datos en redirección

Last updated 1 year ago