通过IDOR实现权限提升导致未授权用户注入

通过IDOR实现权限提升导致未授权用户注入

再次问候，我是Omar，今天我想与大家分享我在YesWeHack公开漏洞赏金项目中的第一个赏金收获，以及一个有趣的权限提升漏洞。

项目概述

该项目主要功能是让用户能够远程管理设备，通过将设备添加到群组中，并可以为这些群组分配具有不同权限的管理者来管理设备。

测试过程

在开始测试之前，我花费了2到3天的时间来审查该项目。

正如所述，我们可以在此应用程序中添加联系人，因此我创建了两个账户并将它们连接起来。

之后，导航到设备标签页，您可以从联系人中添加管理者并为他们分配权限。

将管理者添加到我的设备并为其分配角色后，您可以稍后更改其权限。

请求如下所示：

![请求截图]

正如我们所看到的，有一个名为"contactId"的参数。

是的，正如你所想，我将ID更改为任意ID。

然后返回了200 OK:check_mark_button:!!!!!!!!!!

快速导航到网站查看发生了什么。

实际上，看到任意用户被添加到你的群组中有点好笑:face_with_tears_of_joy:。

请注意，这不仅仅是IDOR漏洞，因为我能够以所有者身份添加用户（这很正常），但不同之处在于我能够绕过添加用户的范围限制（原本只能添加我的联系人）。

就这样，我报告了该漏洞并获得了赏金。

![赏金截图]

最后我想说的是，在测试了几乎所有可能想到的想法和功能后，我才发现了这个漏洞，经过一段时间的测试，这是唯一有效的方法，所以请保持耐心。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码