Assalamu’alaikum wr. wb.
Salam semangat untuk sobat progress dimanapun anda berada, kembali lagi bersama saya rootbakar yang akan berbagi postingan-postingan menarik terkait Bug Bounty.
Oke pada kesempatan yang baik kali ini saya akan membagikan postingan terkait bug Insecure Direct Object Reference atau yang lebih dikenal dengan IDOR. Pasti sobat progress bertanya kan apa sih IDOR itu…???
IDOR sendiri merupakan sebuah serangan yang memungkinkan seorang malicious user untuk dapat melakukan perubahan, penghapusan, penambahan dan melihat semua datail informasi milik user lain dengan hanya melakukan injeksi pada objek berupa ID dari user (victim) yang bersangkutan.
Lebih jelas sobat progress bisa membaca beberapa tulisan lain di bawah ini yang menjelaskan tentang IDOR:
- https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.html
- https://portswigger.net/web-security/access-control/idor
- https://blog.detectify.com/2016/05/25/owasp-top-10-insecure-direct-object-reference-4/
- https://medium.com/better-programming/all-about-idor-attacks-64c4203b518e
SUMMARY
Sedikit penjelasan terkait kerentanan yang saya temukan ini yaitu bagaimana seorang attacker dengan mudahnya mendapatkan informasi sensitif dari seorang user atau bahkan melakukan perubahan, penambahan dan penghapusan data tersebut.
Nah yang menarik disini yaitu saya berhasil membypass IDOR yang sudah di proteksi oleh pengembang tersebut. Dimana jika kita merubah ID menjadi ID user lain maka akan secara otomatis kita akan dibenturkan dengan informasi You are not authorized .
Maka dari itu saya mencoba menambahkan JSON parameter dengan value yang sama pada proses request dan boommmm,, saya berhasil membypass proteksi IDOR tersebut dan mendapatkan semua informasi dari user lain, bahkan bisa merubah, menambah dan menghapus data apapun tanpa dibenturkan dengan informasi You are not authorized.
Okay lebih jelas silahkan lihat poc di bawah ini…..
POC
1. Login ke aplikasi dan masuk ke menu Setting
2. Intercept dengan menggunakan Burp Suite
3. Klik User Detail
4. Ubah value pada parameter ID dengan ID user lain
5. Nah sampai disini akan muncul error pada saat kita mengirim request
6. Untuk dapat membypass IDOR tersebut tambahkan JSON Parameter yang sama pada POST data yang akan dikirimkan ke server
7. Forward request dan lihat kita berhasil membypass IDOR dan berhasil melihat detail informasi dari user lain serta menambah, mengahapus atau merubah data lainnya.
SCREENSHOT
BEFORE BYPASS
AFTER BYPASS
IMPACT
Malihat, menambah, menghapus dan merubah data user lain.
TIMELINE
- Report: 24 Desember 2020
- Rewards: On Proccess
- Status: Unresolved
Terimakasih sudah menyempatkan untuk membaca postingan saya ini semoga menginspirasi dan membantu sobat progress dalam menemukan bug-bug serupa pada sebuah platform bug bounty dan Jangan lupa sempatkan sedikit waktunya untuk subscribe youtube kami yah di Progress28. Salam semangat dan Happy Hunting.