Haloo Bug Hunter! gimana kabarnya? semoga sehat-sehat ya!! Kali ini gw mau share tentang IDOR lagi.. dan kemaren ada yg bilang artikel yg gw bikin terlalu teknis.. Kata dia coba bikin yg lebih santaii, oke lah dicoba :)
Ringkasan
Singkat cerita.. Gw lagi test halaman reset password. Nah disini butuh verifikasi kode OTP yang dikirim lewat SMS.. Dan disini gw bisa kirim kodenya nomor lain.. langsung aja ke langkah-langkahnya deh biar gk ngang ngeng ngong 😆😆😆
Langkah-Langkah:
- Buka halaman reset password di web target.. contohnya: https://redacted.com/account/reset
- Isi data yg diminta, misalnya nomor hp dari akun kita.
- Setelah itu, aplikasinya minta kode yg udah dikirim ke nomor hp gw.. nah awalnya gw kepikiran “Bisa gak ya kalo minta kode terus-terusan?” (No Rate Limit ygy).
- Gw coba klik “Resend Code” dan gw cek request nya di burp suite, detail requestnya dibawah ini..
Request:
POST /api/account/reset/resend HTTP/1.1
Host: redacted.com
Cookie: xxxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: application/json
Content-Type: application/json
Origin: https://redacted.com
Referer: https://redacted.com/account/reset/verify
Upgrade-Insecure-Requests: 1
Connection: close
{"account_id": 123456,"csrf_token": "xxxxxxxx"}Response:
{"success": true, "phone_number": "+62819xxxxxxx8"}5. Nah gw nyoba buat kirim kodenya berkali kali.. ternyata gagal ygy, cuma bisa 3 kali :(
6. Akhirnya gw nyoba ubah nilai dari parameter “account_id” di requestnya dan berhasil, gw bisa dapetin nomor hp dari akun lain.
Udah si gitu aja, makasih udah mau baca artikel yang gak guna ini.
Impact:
Gw bisa dapet semua nomor hp yg terdaftar di aplikasi tersebut, dan karena disini OTP nya dikirim lewat SMS, pastinya pihak perusahaan bakal rugi kalo SMS nya gw kirim ke ribuan member.. soalnya id membernya berurutan 😆
