url страница

[Gedige]

Здравствуйте, уважаемые форумчане! На одном сайте, где требуется обязательная авторизация, на некоторых страницах заметил, что если в конце url страницы подставлять некторые значения, то открываются страницы, которые так не доступны, в т.ч. с возможность скачивать чужие файлы и видоизменять некоторые свои данные. Является это уязвимостью? Если да, то как она называется и как можно эксплутировать в автоматическом режиме? пример: site. com/user/123 при постановке значений site. com/user/124 попадаю на недоступную страницу.
Также на некоторых страницах в конце после адреса страницы заметил странные значения, назначение которых мне не понятны. типа site. com/user/stranica ab123cd456 ef789. Если убрать их, то страница также открывается, причем что после авторизации под моей учеткой, что без авторизации у других пользователей, только значение там другое.

 

[explorer]

Не нужно делать ВЕСЬ текст цветным. Цвет используйте для выделения важных мест - адресов, названий, и т.п. Откорректировал ваш пост.

По теме - это уязвимость, называется Insecure Direct Object Reference, небезопасные прямые ссылки на объекты. Или сокращённо IDOR. В автоматическом режиме можно собрать данные написав парсер-паук, который переходит сам по ссылкам, увеличивая номер и записывая со страницы нужные данные в файл в цикле.

 

[OxFF3]

Здравствуйте, уважаемые форумчане! На одном сайте, где требуется обязательная авторизация, на некоторых страницах заметил, что если в конце url страницы подставлять некторые значения, то открываются страницы, которые так не доступны, в т.ч. с возможность скачивать чужие файлы и видоизменять некоторые свои данные. Является это уязвимостью? Если да, то как она называется и как можно эксплутировать в автоматическом режиме? пример: site. com/user/123 при постановке значений site. com/user/124 попадаю на недоступную страницу.
Также на некоторых страницах в конце после адреса страницы заметил странные значения, назначение которых мне не понятны. типа site. com/user/stranica ab123cd456 ef789. Если убрать их, то страница также открывается, причем что после авторизации под моей учеткой, что без авторизации у других пользователей, только значение там другое.

Еще можно использоваться функционал Intruder`а. В нем можно указать место, где нужно изменять значения, а на вкладке Payload задать список необходимых значений для подстановки. После запуски смотреть как это все отработает.

 

[Gedige]

Не нужно делать ВЕСЬ текст цветным. Цвет используйте для выделения важных мест - адресов, названий, и т.п. Откорректировал ваш пост.

По теме - это уязвимость, называется Insecure Direct Object Reference, небезопасные прямые ссылки на объекты. Или сокращённо IDOR. В автоматическом режиме можно собрать данные написав парсер-паук, который переходит сам по ссылкам, увеличивая номер и записывая со страницы нужные данные в файл в цикле.

Спасибо. А что касается второго вопроса