-IDOR- Insecure Direct Object References

Para empezar con IDOR seguiremos los labs de BeeWapp que recomiendan. Para ello crearemos dos usuarios:

  • root; root
  • logan;logan

IDOR Change Secret

En este primer ejercicio aprovecharemos la vulnerabilidad IDOR para cambiar la palabra secret del usuario root y asignarle la que nosostros queremos que en este caso le pondremos pwned.
Empezaremos primero interceptando la peticion de cambio de secret del usuario mediante el cual nos hemos logueado:

IDOR1.png

IDOR1.1.pngPara explotar la vulnerabilidad lo que haremos será cambiar el login (nombre de user) a root y dejaremos la palabra secret como pwned.

IDOR1.2.png

En la imagen vemos como nos devuelve un 200 de respuesta por parte del servidor, por lo cual se ha cambiado sin ningún problema la palabra secret del usuario root explotando así dicha vulnerabilidad.

IDOR1.3.pngIDOR1.4.png

IDOR Reset Secret

Para resetear la palabra secret del usuario root procederemos de la misma manera.

IDOR2.png

Primeramente interceptaremos el reseteo de la palabra que hace el usuario logan y entre las etiquetas xml de <login></login> cambiaremos a root y así procederemos al reseteo de su palabra secret.

IDOR2.1.pngIDOR2.2.png

Como vemos en la imagen inferior nos devuelve una respuesta 200 y comprobamos que efectivamente como hemos señalado se ha reseteado la palabra secret.

IDOR2.3.png

IDOR Order Tickets

En este último ejemplo cambiaremos el valor de los tickets para que nos salgan mucho más baratos mediante parameter tampering.

IDOR3.png

Primero de todo interceptaremos la petición:

IDOR3.1.png

Como vemos en la imagen superior, localizamos el parametro ticket_price y modificamos su valor al que nosotros queramos. En este caso como los tickets valen 15 euros ahora nos costarían 1 euro.

Pensad que en niveles mejor implementados, el parametro ticket_price puede que esté oculto, en este caso por lógica de programación ya que existe ticket_quantity tambien podríamos probar con ticket_price y ver la respuesta del servidor.

IDOR3.2.png

IDOR3.3.png

Observamos que de 300 euros que valían los tickets ahora solo cuestan 20 euros, sale barato esto del parameter tampering 😀

Deja un comentario