约会应用也不放过？利用参数污染漏洞绕过IDOR

嘶吼专业版 · 公众号 · 互联网安全 · 2017-12-14 17:58

正文

请到「今天看啥」查看全文

不幸的是......看起来没有什么效果！因为这里得到了一个“401 Unauthorized”错误:(

下面展示的是目标用户的个人资料页面。（为了保护个人隐私，我给照片打了马赛克）。

看起来，该应用程序似乎不存在直接对象引用漏洞。

别急！我们还有另一种方法。我们可以尝试添加另一个UserId参数来进行测试，看看是否能够通过参数污染访问受害者的个人资料。

耶！成功了：）

这一次，我成功得到了女孩的全名。这样的话，通过社交网站进行社交工程就容易多了。除此之外，我还获得了很多不对外公开的信息。

在获取这些信息之后，就不难在脸书上找到她了。

我进一步考察了她在这个约会应用中的个人资料。然后，我还成功将自己的照片上传到了她的个人资料中。不仅如此，我的大部分信息都被复制到受害者的个人资料中。

但是，我却没有找到删除照片的方法。所以，男士们查看这位受害者的个人信息时会看到我的照片，但是名字却是一个女孩的名字。

我设法了解这个问题的根源，但是发现payload中的内容真是一团糟。

我解码payload中的字符串后，事情终于有了一些眉目。

{"showInitials":false,"personalQuote":"","Album":[{"photoStatus":"APPROVED","objectId":"10201413175049192","imageOrder":0,"srcBig":"http:\/\/store.s3.amazonaws.com\/Pictures\/1020141317 .jpg","profilePic":true},{"photoStatus":"APPROVED","objectId":"10201801229 ","imageOrder":1,"srcBig":"http:\/\/store.s3.amazonaws.com\/Pictures\/102018012 .jpg","profilePic":false},{"photoStatus":"APPROVED","objectId":"1020286084 ","imageOrder":2,"srcBig":"http:\/\/store.s3.amazonaws.com\/Pictures\/1020286084 .jpg","profilePic":false}],"degree":[{"isSelected":1,"tagId":1,"tagsDtoType":"NONE","name":"No Info (update your linked account)"}],"company":[{"isSelected":1,"tagId":215147778516386,"tagsDtoType":"USER_WORK","name":" "}],"college":[{"isSelected":1,"tagId":2,"tagsDtoType":"NONE","name":"Don't Show”}],"religion":[{"isSelected":1,"tagId":1,"tagsDtoType":"USER_RELIGION","name":"Hindu"}],"location":" ","height":" ''","showHeightType":"INCHES","tagsDtos":[{"tagId":"11","name":"Cricket","tagsDtoType":"SOME_TAG"},{"tagId":"84","name":"Painting","tagsDtoType":"SOME_TAG"},{"tagId":"85","name":"Sketching","tagsDtoType":"SOME_TAG"},{"tagId":"131","name":"Free Spirited","tagsDtoType":"SOME_TAG"}],"isMutualFriendVisible":true,"designation":[{"isSelected":1,"tagId":1,"tagsDtoType":"NONE","name":"No Info (update your linked account)”}],"ethnicity":[]}