知名在线教育平台的IDOR漏洞
在前一篇关于越权漏洞(IDOR)的分享中,我们谈了一些用户功能处存在的隐患点,今天再来聊聊另一个最近发现的IDOR漏洞,出于保密原因,文中提及的目标网站我们以xyz.com代替,漏洞获得厂商$3,650的奖励。
简单对目标网站xyz.com做个介绍:它是一个在线教育平台,主要提供政治/媒体/历史等方面的培训,其中内置分组聊天功能,几乎全球著名的大学都使用了该平台为在校学生进行辅导教学。在前端应用中,教师(管理者admin)通过创建课程,然后邀请学生(低权限用户)加入课程学习。整个在线教学过程中,将有讨论、作业指导以及课题项目等分类。
首先是,在前端接口服务的讨论分组功能中,存在学生角色可更改的IDOR漏洞,其角色更改请求如下:
这里存在两个参数,一个是课程管理员ID(Class admin ID)26201,另一个是学生角色ID(Student Role ID)224410,有点奇怪的是,这个学生角色ID和请求内容中的student_id号40990有关联。所以,如果我们以某个student_id号假设48990为目标,保持课程管理员ID26201不变,通过在一定范围内枚举猜测其学生角色ID(Student Role ID),这样的话我们完全有可能得到其对应的学生角色ID(Student Role ID),最终可实现对该生的课程角色变化,如从课程中删除或添加到其它课程等操作。
之后,我又用此方法发现了另外一个请求中的IDOR漏洞:
在该请求中,通过改变学生的ID号Victim Id,结合请求体中的姓和名的内容,我们就能更改Victim Id对应学生的姓名信息,原始请求中只有”first_name”和”last_name”参数,之后,我又尝试增加了一个“email”参数,组成以下请求:
这一改,服务端响应回来状态码为200,竟然是可以的!所以,同样可用枚举生ID号Victim Id的方式,就能对所有学生信息进行更改了。可以导致:任意学生信息泄露、任意学生信息更改、邮箱更改导致的账户劫持、针对某课程对学生进行任意添加删除、添加成为某课程学员。
其次,在学生作业提交请求中也存在IDOR漏洞,作业提交请求如下:
在上述请求中可以看到,其file_url为数据型的,通过更改其中的数值就能把其他学生的提交作业变成我的提交作业了,同时还能看到其他学生的作业信息,如下:
在发现以上漏洞后,我及时提交给了厂商,当漏洞修复完成时,我在复测时,又发现了上面这个作业提交请求中还仍然存在IDOR漏洞。修复后的作业提交请求如下:
可见,其中确实没有了file_url参数。在BurpSuite中的请求如下:
响应如下:
奇怪的是,响应内容中可以看到一个“file_url”:null名值对,所以,我又尝试在请求中添加进了“file_url”参数值,果然,还是和修复之前一样可以成功响应!所以最后的经验是,要学会从请求的响应中观察那些隐藏的参数。
*参考来源:medium,clouds 编译整理,转载请注明来自 FreeBuf.COM
精彩推荐
最近更新在线教育
- 【无讼乡镇】安顺“无讼乡镇”再添一员
- 人才需求正旺 近年来硕士研究生考试报名人数屡创新高
- 外教入主 外援助力 辽宁女排新赛季展新气象
- 运动生涯辉煌,执教之路仍不一帆风顺!马琳下课悬念重重,刘国梁尽在掌握
- 济南市第二人民医院开展2023年度新入职员工岗前培训
- 湖南娄星:重教育人 办好人民满意教育
- 海选报名截止!中华经典诵读大会在全国掀起文化热潮
- 越西县多措并举强化“组团式”帮扶组织保障
- 津药达仁堂刘淑:做创新国药领跑者,推进中医药现代化
- 推进数字化赋能教学质量提升
- @东马跑友 2023黄河口(东营)马拉松赛健康跑参赛须知来啦
- 秋招火热 产业变迁引领就业新方向
- 出国的“不二”之选 | 力迈剑桥中学课程特色
- 东海县西双湖派出所:织密治安“防护网” 筑牢秋季“防火墙”
- CBA常规赛:新疆伊力特胜江苏肯帝亚
- 护航企业“走出去”服务人才“引进来”
- 厦门科学城·同安区首届科技服务节落幕 “同企云”平台上线
- 南邮师生来到办学发轫地,共上“行走的思政课”
- 被动陷入监护缺失怎么办?“养老监护人”可以自主选择
- 天津:孩子们在活力校园动起来
- 第二届北京城市更新论坛闭幕 1500万人打卡城市更新街区
- 700吨!中广欧特斯助力湖南化工职业技术学院热水系统改造升级
- 自考可以复核哪些成绩?
- 深圳中考球类项目重点考查什么?难度如何?记者实测→
- 超6.8万亿!山东前三季度GDP增长6%