رایتاپ تصاحب حساب کاربری با IDOR بخش دوم

سلام خدمت دوستان عزیز

امروز با رایتاپ تصاحب حساب کاربری با IDOR بخش دوم، در خدمتتون هستم.

از طریق IDOR تونستم Account Takeover انجام بدم که در ویدیو توضیح دادم.

هفته گذشته یه رایتاپ مشابه این مورد منتشر کردم که اینجا می‌تونید مطالعه کنید.

در ضمن اگر استقبال خوب باشه بازم از این دست ویدیوها قرار میدم. 😉 

چون ممکنه یکسری از دوستان با این مورد آشنا نباشن، اول یه توضیح مختصر در مورد این آسیب‌پذیری داشته باشیم:

idor مخفف عبارت Insecure Direct Object References است.

این نوع آسیب پذیری زمانی رخ میده که توسعه‌دهنده، بدون پیاده سازی مکانیزم‌های کنترل سطح دسترسی و… ، دسترسی منبع/منابع به شئ/اشیاء داخلی برنامه یا سیستم را باز گذاشته باشد.

هکر با دستکاری مقادیر چنین ارجاعاتی میتواند به داده‌های مهم برنامه‌ی وب یا سرور دسترسی غیر مجاز داشته باشد.

برای انجام این حمله معمولا نیاز داریم که از ابزار burp suite هم کمک بگیریم.

نکته : چون گزارش این باگ مربوط به برنامه private از یک پلتفرم بود از سایت نام برده نشده.

“رایتاپ تصاحب حساب کاربری با IDOR بخش دوم”