绕过限制访问敏感数据

1.在浏览网站时，我有一个私人文件的共享选项，但要共享它们，您需要两件事：

itemid 和 itemownerid 的 ID 创建。

它们是很长的数字，因此不可能对它们进行暴力破解

2.我打开了第二个帐户来查看它们之间的区别，我发现了一个完全不同的值，这使得它变得更加困难

3.我尝试通过更改第二个帐户的第一个帐户的值来测试 IDOR，我发现有一个 IDOR 允许我通过更改 itemId 和 ownerId 的值来共享其他帐户文件

严重性仍然很低，因为我无法暴力破解他们

我继续挖掘，发现我可以邀请用户访问我的帐户以与他共享一些文件，但我只能查看我邀请的共享文件，而不能查看其他文件

因为我现在邀请了一个文件，所以我有邀请我的受害者的 ownerID 它在查看文件时被披露。

我也有这个文件的 itemid，所以我可以从我的帐户中使用它们来重新共享我邀请的文件并在电子邮件邀请上写一条消息，看起来受害者是发件人

在这里，我可以利用 Idor 在我没有共享选项时重新发送 IM 邀请的文件

因此，在我获得他的 itemID 和 ownerID 后，我可以从我的帐户中共享它

现在我从我的第一个帐户（受害者帐户）分享了另一个文件到我的（第二个帐户），并注意到 ownerID 在所有文件上都是固定的，因为它与受害者帐户有关

现在要暴力破解另一个 files 值，我需要此文件的 itemid

我共享了另一个文件，但 itemid 值的差异只有 5 位数字，因此所有文件共享相同的所有者 ID 和（itemid 具有不同的 5 位数字）

我尝试通过 Intruder 暴力破解其他数字，但有速率限制

我添加了 X-Forwarded-Host：127.0.0.1 并且没有被阻止

所以在这里我绕过了速率限制，并且我能够暴力破解所有其他文件的值（项目 ID）

现在影响是：

如果用户与我共享了一个文件，我可以在查看文件时获取 itemid 和 ownerid，然后转到我的帐户并从我的帐户共享一个文件，并将文件值替换为受害者值，以便在我不允许共享时重新共享它，甚至在受邀用户收到的邀请电子邮件中添加消息，看起来受害者是共享它并发送消息的人

我可以暴力破解其他 ItemId 值，这意味着暴力破解邀请我访问一个文件的用户的所有其他私有文件，并且可以分享他们。

原文始发于微信公众号（迪哥讲事）：绕过限制访问敏感数据