0160.罚款900美元IDOR:未经授权通过直接API访问表单附件

admin
admin
admin
0
文章
0
评论
2026-05-18 06:21:42 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文详细分析了在SaaS平台ExampleCenter中发现的一个IDOR漏洞,该漏洞允许低权限用户通过直接访问API端点绕过授权检查,下载无权访问的表单附件。关键发现包括后端仅依赖对象标识符而缺少权限验证、附件名称可枚举、端点无速率限制等风险。可操作建议包括测试直接下载端点、关注枚举可能性、加强后端授权检查。作者因此获得800美元赏金和100美元复测奖金。 综合评分: 85 文章分类: 漏洞分析,WEB安全,渗透测试,实战经验,安全开发

cover_image

0160.罚款 900 美元 IDOR:未经授权通过直接 API 访问表单附件

原创

Abhi Sharma Abhi Sharma

Rsec

2026年5月16日 10:27 贵州

在小说阅读器读本章

去阅读

本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。

声明:本文搬运自互联网,如你是原作者,请联系我们!

类型:IDOR

大家好!在测试一个 SaaS 平台( ExampleCenter )时,我发现了一个授权绕过漏洞,该漏洞允许低权限用户从他们无权访问的表单中下载文件附件。

我因此获得了 800 美元的赏金和 100 美元的复测奖金。起初,这看起来像是一个简单的端点问题,但深入研究后,我发现它实际上是一个典型的 IDOR 漏洞,具有枚举潜力。让我们来详细分析一下。

了解目标

ExampleCenter 提供了一个人员/表单系统,组织可以通过表单收集数据。

这些表格通常包含:

  • 个人文件
  • ID
  • 同意书
  • 敏感用户信息

访问控制旨在确保:

  • 只有授权用户才能查看表单提交内容。
  • 只有拥有相应权限的用户才能访问附件。

我使用查看者级别的帐户进行了测试,结果如下:

  • ❌ 无法访问目标表单
  • ❌ 无法查看提交内容
  • ❌ 无法通过用户界面下载附件。

所以从用户界面角度来看——一切看起来都很安全。

引发漏洞的想法

在检查网络流量时,我注意到文件下载是通过直接端点进行的。

这让我想到:

“如果后端只检查附件 ID,而不检查实际权限呢?”

所以我决定手动测试。

缺陷:直接访问附件

我使用 Viewer 用户的有效会话构造了一个请求:

GET&nbsp;/form_submission_value/{attachment_id}/attachments?attachment_name={attachment_name}&nbsp;HTTP/2Host:&nbsp;api.examplecenter.comCookie:&nbsp;session=<viewer_session>

我的预期与实际发生的情况

我原本以为会收到 403 Forbidden 或 Access denied 错误,但实际上我收到了 200 OK — 文件下载成功。

虽然:

  • 我无法访问该表格。
  • 我在用户界面中看不到提交的内容。

👉 我仍然可以下载附件

缺失的一环:枚举

分析师提出了一个重要的问题:

如何获取附件名称?

而这正是这个漏洞变得更有趣的地方👇

#

枚举可能性

  • attachment_id → 顺序
  • Attachment_name → 可猜测/可枚举
  • 端点无速率限制

👉 这会导致暴力破解/枚举攻击

攻击者可以:

  • 迭代 ID
  • 尝试使用常见的文件名
  • 提取有效附件

为什么这很重要

即使统计工作需要付出努力,但其影响却十分重大,因为:

👉 一旦找到有效参数 →即可完全访问文件

#

根本原因

这是一场经典的 IDOR:

后端授权仅依赖于对象引用(attachment_id 和 attachment_name)。

缺少支票;

  • 用户是否有权访问该表单?
  • 用户是否有权提交内容?
  • 该用户是否允许上传此附件?

👉 无需授权验证

#

影响

此漏洞会导致:

保密性影响

  • 访问敏感文件和图像
  • 个人用户数据的泄露

数据泄露

  • ID
  • 医疗表格
  • 私人投稿

隐私风险

  • 违反用户信任
  • 未经授权的数据披露

#

赏金与计划响应

  • 报告日期:2026 年 1 月 6 日
  • 说明:枚举解释
  • 分诊日期:2026 年 1 月 13 日
  • 严重程度:中等(基于 CVSS 评分)
  • 赏金:800 美元 + 100 美元奖金
  • 重新测试:修复已确认

要点总结

  • 务必测试直接下载端点。
  • IDOR 通常隐藏在以下功能背后:文件下载、媒体访问和附件
  • 不要止步于“需要一个参数”——测试枚举
  • 缺乏速率限制可能会将低级漏洞转化为真正的攻击。
  • 即使对参数进行部分控制,也可能导致数据泄露。

#

个人见解

这个漏洞源于一种非常简单的思维方式:

“如果我无法在用户界面中访问它……我还能直接获取它吗?”

单单这个问题就会导致很多现实世界中的漏洞。

#

结论

该漏洞凸显了仅依赖对象标识符而没有进行适当授权检查是多么危险。

尽管用户界面正确地限制了访问权限,但后端允许直接检索敏感文件,完全绕过了访问控制。

这类错误非常常见,尤其是在处理上传和文档的系统中。

请始终记住:

如果一个端点返回一个文件……它必须验证是谁在请求该文件,否则你就可以获得赏金。

下次再见——祝你编程愉快!🚀

#

请在微信客户端打开

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:Rsec Abhi Sharma Abhi Sharma《0160.罚款 900 美元 IDOR:未经授权通过直接 API 访问表单附件》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0