本文作者:heart
网站首页如下,通过路径得知使用的使用的eShop程序搭建,通过faction.ico图标得知中间件是Apache Tomcat。
首先使用用户B访问用户选项中的用户列表
点击进入查看 test2@test2.com 用户详情,
如下:(注意地址栏)
与此同时burp抓包得到如下
可以看到对应的箭头标注处 注意Referer 此处的链接,
分别对应了id 和 registerInClient,
此时我们查看用户A以上面步骤访问test@test.com 用户信息时的请求包
可以看到依旧是一一对应的,如何进行越权查看呢,问题就在Referer处的链接
步骤如下:
首先我现在登入的是用户B的账户,然后使用用户A的Referer处的链接直接在浏览器地址栏上访问,我们来看看效果:
虽然有提示错误 无权执行操作,但我还是依旧访问进入了用户A的账户
访问授权应用列表时虽然提示无权但依旧可以访问,
但下面的操作就不会进行错误提示:
可以看到得到用户的全部信息,但是在访问链接往下的时候已经可以很直观的看到了这里是可以得到用户的token。
可以查看用户的位置信息记录
还可以得到用户池的密钥。
总结:
只需要得到用户的id registerInClient 值就可以以最简单的方式实现越权访问用户的敏感数据。
