شرح و استغلال ثغرة insecure direct object references الخطيرة

شرح و استغلال ثغرة Insecure Direct Object References

0 تعليق yes 11-نوفمبر-2016 محمد فتحي

شرح و استغلال ثغرة Insecure Direct Object References

خطورة ثغرة Insecure Direct Object References ؟

تحتل هذة الثغرة المركز الرابع بين ثغرات OWASP Top 10 و تعتبر أحد الثغرات الأكثر خطورة ضمن ثغرات OWASP لأنها تمكنك من تعديل القيم الموجودة في الموقع دون الحاجة إلي صلاحيات مدير او اي شئ اخر مما يعرض المواقع الإلكترونية للإختراق أو العديد من الأخطار الأخري !





OWASP top 10 for 2013

OWASP top10 2013

سوف نشرح اليوم علي سكربت BWAPP كيفية استغلال هذة الثغرة و المثال المتوافر هو موقع لشراء تذاكر الافلام من علي الانترنت

 

تطبيق الثغرة على موقع شراء تذاكر الأفلام

تطبيق ثغرة Insecure Direct Object References على موقع شراء تذاكر الأفلام







 

يخبرك الموقع بآن سعر شراء التذكرة الخاصة بالفيلم هي ١٥ يورو لكل تذكرة، إذا ضغط علي Confirm سوف يتم دفع القيمة المدخلة بالجمع مع عدد التذاكر المطلوبة بمعني لو طلب تذكرتين سوف تتكلف ٣٠ يورو و هكذا

التذاكر من الموقع المصاب بالثغرة

التذاكر من الموقع المصاب بالثغرة

اذا لاحظت ان في الطلب يوجد عدد التذاكر و ثمن التذاكر و مكتوب ١٥ يورو و الذي يرسل مع الطلب الخاص بك ..

حجز التذاكر الخاصة بالأفلام من خلال الموقع المصاب بالثغرة

حجز التذاكر الخاصة بالأفلام من خلال الموقع المصاب بالثغرة

بعد الضغط علي موافق تم شراء التذكرة و سحب من حسابك 15 يورو

هل هذا خطير ؟

من الممكن ان يتم التعديل علي الطلب و تغير الفيمة من 15 يورو الـ 0 يورو و يمكنك الحصول علي التذاكر دون دفع تكلفة ! 

التعديل على الطلب و عدم دفع ثمن التذكرة

التعديل على الطلب و عدم دفع ثمن التذكرة

 

يتضح في الطلب وجود عدد التذاكر وهى تذكرة واحدة و سعرها 15 يورو .. سوف نجرب تغير سعر و عدد التذاكر

تجربة تغيير عدد التذاكر فى الموقع

تجربة تغيير عدد التذاكر فى الموقع

قمنا الان بتغير عدد التذاكر الي ٥٠ تذكرة و المبلغ المدفوع الي ٠ ” لم ندفع شئ ” وسوف نكمل باقي الطلب علي مشروع BurpSuite

تم شراء التذاكر بنجاح و بذلك تم استغلال الثغرة بنجاح

تم شراء التذاكر بنجاح و بذلك تم استغلال الثغرة بنجاح

ارسل لك الموقع ان تم شراء 50 تذكرة دون دفع اي مبلغ مالي من حسابك ، اي اننا طلبنا التذاكر بدون اموال و يمكننا اللعب و التعديل في قيمة المدخلات في الموقع دون الحصول علي اي صلاحيات .

في الدرس القادم سوف نقوم بشرح طرق اخري لاستغلال IDOR بعدة وسائل جديدة . 






sirmatrixpage

مبرمج و مؤسس مجتمع سيكونتي , اعمل كامطور مواقع بلغة PHP و اعمل كمطور تطبيقات بـ Python باحث امني في تطبيقات الويب و مسجل بأكثر من قائمة شرف لعدد من الشركات حول العالم مثل " Zendesk , Apple , Sony , Yahoo , Microsoft " وغيرها من الشركات العالمية

إضافة تعليق