前言
目标中有这样一个功能,免费用户最多可以同时创建 3 个列表。如果您发送创建三个以上列表的请求,该站点将授予普通用户选择 3 个列表并锁定第 4 个和其他列表的权利。此外,无法管理、添加或删除、共享或重命名锁定列表。
分析一下正常的流程:
提交了创建列表的请求并查看请求:
书签 ID 参数中可能存在 IDOR。但是看不到其他用户的 bookmark_id 值,而且他们的 id 值也不是递增的;
从第二个帐户尝试 IDOR。遇到了403 Forbidden
创建了一个列表并将其发送至Bp的repeater,以不同的名字重新提交了请求,主要目标是看看是否还能通过IDOR查看锁定的列表。
如预期,只能查看三个列表,因为不是高级会员;
选择了三个列表,看到其他三个列表被自动锁定。
在浏览器中查看bookmark_id 参数:
回到未锁定的列表并选择了一个。打开了 Intercept并发送了一个名称并更改请求
次遇到相同的请求,并用复制的锁定列表的值替换了 bookmark_id 的值。
发现能够重命名锁定列表,发现: 即使列表被锁定,也能够与其他人分享。
该公司将 bookmark_id 值直接添加到 URL 路径方便 导航到列表。因此,即使列表被锁定,也可以使用路径 redacted.com/lists/<<bookmarkID> 与其他人共享它。
漏洞点: 即使列表被锁定,也能够像使用常规列表一样使用并共享它。
小结: 这里主要还是通过对比普通用户与高级会员之间的权限差异,发现高级会员中的某一个权限,普通用户也可以获取
