如何通过权限升级赚取 9000 美元
正文
第一部分
创建了两个帐户,一个是拥有者,我在其中创建了一个项目,并邀请项目中的合作者,而合作者是第二个帐户。
拥有者可以在项目中创建合作者无法访问的私人文件夹、私人文件、审阅链接和演示文稿。
下面对某个搜索功能进行测试:
启动一个 Burp Proxy 并随机键入“abcdef”,同时捕获了进一步检查的请求。下面是捕获的请求:
下面来删除q中的参数,发现会泄露所有者元数据和邀请链接:
还有两个与搜索请求关联的接口,都有类似的数据泄露问题。
第二部分
收集了所有 所有者 的接口,这些接口通过使用项目的 所有者 站点被限制为合作者(协作者);
每个项目都有一个唯一的 UUID,这个唯一的 UUID 对于项目中的每个参与者都是相同的,无论是所有者、团队成员还是协作者;
下面尝试使用协作者帐户的每个请求;
使用来自合作者请求或帐户的受限接口,发现有多个接口将敏感数据泄露给协作者;
接口可以尝试在JS中寻找。
原文始发于微信公众号(迪哥讲事):如何通过权限升级赚取 9000 美元
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论