Graphql-IDOR - Pentesting Web

Dans le contexte de GraphQL, les IDOR (Insecure Direct Object References) peuvent se produire lorsque un attaquant est capable de deviner ou d'énumérer des identifiants (IDs) d'objets au sein de l'API et peut utiliser ces IDs pour accéder à des objets auxquels il ne devrait pas avoir accès. Cela peut se produire parce que les développeurs de l'API n'ont peut-être pas correctement implémenté les mécanismes d'authentification et d'autorisation dans leur API.

Phase de reconnaissance des chemins du site web :

gobuster dir -u http://localhost:5000/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20

Nous trouvons dans la section web ce référentiel settings :

Nous interceptons la requête avec Burpsuite:

Le serveur nous renvoie des informations confidentielles sur d'autres utilisateurs si nous changeons l'id d'utilisateur :

Mis à jour il y a 1 an