• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

url страница

  • Автор темы Удалённый пользователь 188716
  • Дата начала
  • Теги
    сайт
У

Удалённый пользователь 188716

Здравствуйте, уважаемые форумчане! На одном сайте, где требуется обязательная авторизация, на некоторых страницах заметил, что если в конце url страницы подставлять некторые значения, то открываются страницы, которые так не доступны, в т.ч. с возможность скачивать чужие файлы и видоизменять некоторые свои данные. Является это уязвимостью? Если да, то как она называется и как можно эксплутировать в автоматическом режиме? пример: site. com/user/123 при постановке значений site. com/user/124 попадаю на недоступную страницу.
Также на некоторых страницах в конце после адреса страницы заметил странные значения, назначение которых мне не понятны. типа site. com/user/stranica ab123cd456 ef789. Если убрать их, то страница также открывается, причем что после авторизации под моей учеткой, что без авторизации у других пользователей, только значение там другое.
 
Последнее редактирование модератором:

explorer

Platinum
05.08.2018
1 080
2 475
BIT
0
Не нужно делать ВЕСЬ текст цветным. Цвет используйте для выделения важных мест - адресов, названий, и т.п. Откорректировал ваш пост.

По теме - это уязвимость, называется Insecure Direct Object Reference, небезопасные прямые ссылки на объекты. Или сокращённо IDOR. В автоматическом режиме можно собрать данные написав парсер-паук, который переходит сам по ссылкам, увеличивая номер и записывая со страницы нужные данные в файл в цикле.
 

OxFF3

Green Team
21.04.2019
81
9
BIT
2
Здравствуйте, уважаемые форумчане! На одном сайте, где требуется обязательная авторизация, на некоторых страницах заметил, что если в конце url страницы подставлять некторые значения, то открываются страницы, которые так не доступны, в т.ч. с возможность скачивать чужие файлы и видоизменять некоторые свои данные. Является это уязвимостью? Если да, то как она называется и как можно эксплутировать в автоматическом режиме? пример: site. com/user/123 при постановке значений site. com/user/124 попадаю на недоступную страницу.
Также на некоторых страницах в конце после адреса страницы заметил странные значения, назначение которых мне не понятны. типа site. com/user/stranica ab123cd456 ef789. Если убрать их, то страница также открывается, причем что после авторизации под моей учеткой, что без авторизации у других пользователей, только значение там другое.
Еще можно использоваться функционал Intruder`а. В нем можно указать место, где нужно изменять значения, а на вкладке Payload задать список необходимых значений для подстановки. После запуски смотреть как это все отработает.
 
У

Удалённый пользователь 188716

Не нужно делать ВЕСЬ текст цветным. Цвет используйте для выделения важных мест - адресов, названий, и т.п. Откорректировал ваш пост.

По теме - это уязвимость, называется Insecure Direct Object Reference, небезопасные прямые ссылки на объекты. Или сокращённо IDOR. В автоматическом режиме можно собрать данные написав парсер-паук, который переходит сам по ссылкам, увеличивая номер и записывая со страницы нужные данные в файл в цикле.
Спасибо. А что касается второго вопроса
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!