IDORs Techniques - Pentesting Web

Pour exploiter une vulnérabilité IDOR, un attaquant peut tenter de modifier manuellement l'identifiant d'un objet dans l'URL ou utiliser un outil automatisé pour tester différentes valeurs. Si l'attaquant trouve un identifiant qui lui permet d'accéder à une ressource qui ne devrait pas être disponible, la vulnérabilité IDOR a été exploitée avec succès.

IDOR :

Nous créons un fichier qui nous renvoie l'identifiant en tant que numéro 1062 :

Si nous filtrons par un autre numéro, il indique que le document n'existe pas :

Attaque de force brute :

Nous allons lancer une attaque de force brute pour filtrer les fichiers qui existent :

wfuzz --hh=10703,1233 -c -t 200 -z range,1-1500 -d 'pdf_id=FUZZ' http://localhost:5000/download

Mis à jour il y a 9 mois

Ce contenu vous a-t-il été utile ?