文章总结： 本文介绍利用SalesforceID格式特性实现用户遍历的实战技巧。研究发现该ID前15位为核心对象ID，后3位为校验和。基于此，作者固定ID前11位，仅对剩余4位字符进行枚举爆破，成功发现200多个有效用户并获取敏感信息，展示了针对特定ID机制的渗透思路。 综合评分： 85 文章分类： 渗透测试,漏洞分析,实战经验

【实战】利用 Salesforce ID 格式特性实现用户遍历

原创

Pwn1 Pwn1

漏洞集萃

2026年1月22日 09:04 山东

免责声明 本公众号所发布的文章内容仅供学习与交流使用，禁止用于任何非法用途。

| | | — | | 原文链接 https://brbr0s.medium.com/idor-allows-unauthorized-access-to-other-users-personal-data-8f73486cbab0 |

分析 POST 请求的时候注意到了其 UID 的格式比较不同寻常

POST /webruntime/api/apex/execute
Host: my.example.com
Content-Type: application/json

{
  "namespace": "",
  "classname": "@udd/01p6S000009d5Kp",
  "method": "getUserinfo",
  "isContinuation": false,
  "params": {
    "userId": "005VM000007BILCYA4",
    "networkId": "0DB6S000000TOwlWAG"
  },
  "cacheable": false
}

userId ，其值采用 Salesforce 格式，例如 005VM000007BILCYA4 ，长度为 18 位

随后创建一个新的账号并替换 UID 发包测试发现成功，于是尝试找到更多的 userId；

此时注意到注意到其他每个帐户的前 11 位数字 005VM000007 都是固定的，所以我们仍然有 7 位数字，暴力破解在这里是没用的。

通过继续搜索发现一个请求使用了略微相似的 ID``005VM000007BILC ，但它看起来比正常的请求短一些。

此时发现：

去掉最后三位数字。 YA4 而且，它在之前的请求中也有效。

总结 ：

• 前 15 个字符是核心对象 ID 。
• 最后 3 个字符只是一个不区分大小写的校验和 。
• 在内部，Salesforce 仍然会仅使用 15 个字符的版本来识别记录。

那么我们可以针对这个现象进行爆破

crunch 4 4 ABCDEFGHIJKLMNOPQRSTUVWXYZ -d 1 -o wordlist.txt

随后使用批量测试发现了 200 多个有效用户

通过 POST 请求 我们发现了大量的用户个人身份信息

觉得本文内容对您有启发或帮助？ 点个关注➕，获取更多深度分析与前沿资讯！

👉 往期精选

API 渗透实战：从 JSON 响应倒推隐藏的高危路由

【从公开报告到私有神器】：如何通过漏洞报告制作字典

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：漏洞集萃 Pwn1 Pwn1《【实战】利用 Salesforce ID 格式特性实现用户遍历》