ID utilisateur contrôlé par paramètre (GUID imprévisible)

ID de usuario controlado por parámetro

Lab: User ID controlled by request parameter, with unpredictable user IDs | Web Security AcademyWebSecAcademy

Ce laboratoire présente une élévation horizontale de privilèges sur la page du compte utilisateur. La particularité es que les utilisateurs sont identifiés par des GUID, c’est-à-dire des identifiants longs et aléatoires, par exemple :

9e2f3fc0-7035-48ed-ad6d-f643690c7b9d

Après s’être connecté avec le compte wiener:peter, on peut voir son propre GUID dans la section My account.

Récupération des GUID via les publications

En parcourant le site, on retrouve dans les publications visibles les GUID d'autres utilisateurs :

Le GUID de l’administrateur apparaît sur l’un de ses posts.

De la même manière, on peut récupérer le GUID de carlos.

?userId=5abc76d3-7763-4be9-83d1-c6181bcdf0b5

Exploitation : accès au compte de Carlos

La page du compte est accessible via un paramètre contrôlable :

my-account?id=5abc76d3-7763-4be9-83d1-c6181bcdf0b5

En remplaçant simplement notre GUID par celui de carlos, on obtient son compte :

Mis à jour il y a 2 mois

hashtagID de usuario controlado por parámetro

hashtagRécupération des GUID via les publications

hashtagExploitation : accès au compte de Carlos

ID de usuario controlado por parámetro

Récupération des GUID via les publications

Exploitation : accès au compte de Carlos