Salam semangat untuk sobat progress dimanapun anda berada, kembali lagi bersama saya rootbakar yang akan berbagi postingan-postingan menarik terkait Bug Bounty.
Oke pada kesempatan yang baik kali ini saya akan membagikan postingan terkait bug Insecure Direct Object Reference atau yang lebih dikenal dengan IDOR. Pasti sobat progress bertanya kan apa sih IDOR itu…???
IDOR sendiri merupakan sebuah serangan yang memungkinkan seorang malicious user untuk dapat melakukan perubahan, penghapusan, penambahan dan melihat semua datail informasi milik user lain dengan hanya melakukan injeksi pada objek berupa ID dari user (victim) yang bersangkutan.
Lebih jelas sobat progress bisa membaca beberapa tulisan lain di bawah ini yang menjelaskan tentang IDOR:
- https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.html
- https://portswigger.net/web-security/access-control/idor
- https://blog.detectify.com/2016/05/25/owasp-top-10-insecure-direct-object-reference-4/
- https://medium.com/better-programming/all-about-idor-attacks-64c4203b518e
SUMMARY
Sedikit penjelasan terkait kerentanan yang saya temukan ini yaitu bagaimana seorang attacker dengan mudahnya mendapatkan informasi sensitif dari seorang user atau bahkan melakukan perubahan, penambahan dan penghapusan data tersebut.
Nah yang menarik disini yaitu saya berhasil membypass IDOR yang sudah di proteksi oleh pengembang tersebut. Dimana jika kita merubah ID menjadi ID user lain maka akan secara otomatis kita akan dibenturkan dengan informasi You are not allowed to perform this action .
Maka dari itu saya mencoba merubah API version dari v1 menjadi v2 dan boommmm,, saya berhasil membypass proteksi IDOR tersebut dan mendapatkan semua informasi dari user lain, bahkan bisa merubah, menambah dan menghapus data apapun tanpa dibenturkan dengan informasi You are not allowed to perform this action.
Okay lebih jelas silahkan lihat poc di bawah ini…..
1. Login ke aplikasi dan masuk ke menu Setting
2. Intercept dengan menggunakan Burp Suite
3. Klik User Detail
4. Ubah value pada PUT method /api/v1/users/ID dengan ID user lain
5. Nah sampai disini akan muncul error pada saat kita mengirim request
6. Untuk dapat membypass IDOR tersebut ubah API version dari v1 menjadi v2 pada PUT data yang akan dikirimkan ke server
7. Forward request dan lihat kita berhasil membypass IDOR dan berhasil melihat detail informasi dari user lain serta menambah, mengahapus atau merubah data lainnya.
SCREENSHOT
BEFORE BYPASS
AFTER BYPASS
IMPACT
Malihat, menambah, menghapus dan merubah data user lain serta mengambil alih akun orang lain dengan merubah email yang bersangkutan ke email milik attacker setelah itu melakukan request perubahan password.
TIMELINE
- Report: 31 Desember 2020
- Rewards: On Proccess
- Status: Resolved
Terimakasih sudah menyempatkan untuk membaca postingan saya ini semoga menginspirasi dan membantu sobat progress dalam menemukan bug-bug serupa pada sebuah platform bug bounty dan Jangan lupa sempatkan sedikit waktunya untuk subscribe youtube kami yah di Progress28. Salam semangat dan Happy Hunting.