0x0前言
此次案例來自一個互聯網醫院廠商,在就診人管理處找到cookie越權,可越權查看其他用戶的就診人信息,后又發現在就診人管理功能的上方的我的預約處有同樣的問題
因為cookie越權在學習越權時雖然學過,但確實個人而言少見,故記下案例
0x1細節
漏洞點:
url:xxxx/user/weihu.html
一開始測試的是修改和刪除功能是否有越權
測完后想測一下能否越權查看的時候,通過抓包發現,獲得就診人信息並非通過發送帶用戶身份標識ID的POST/GET包,而是直接請求該頁面后返回就診人信息,且請求包中無GET/POST數據傳輸,故懷疑用戶身份標識ID在cookie中
下為請求包
GET /user/weihu.html HTTP/1.1 Host: xxxxxxxxx User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:72.0) Gecko/20100101 Firefox/72.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Connection: close Referer: xxxxxxxxxx Cookie: money=0; picurl=; pid=用戶身份標識ID; username=xxxxx; DomainName=xxxxx; nickname=P******; verify=2584998616; onlineId=0 Upgrade-Insecure-Requests: 1
經過兩個賬號測試,pid為用戶身份標識ID
因為有兩個賬號,所以通過觀察,發現pid生成規律疑似<某四位數字+任意四位數字>
故嘗試枚舉,在枚舉出一個有效pid后停止
確實存在利用的可能性
后經過測試,在我的預約處同樣可以替換pid越權查看其他用戶的預約
0x3總結
在測試越權中
如果發現並非通過發送帶用戶身份標識ID的POST/GET包獲取信息
如:
GET /user/weihu.html?pid=xxxx HTTP/1.1 POST /user/weihu.html HTTP/1.1 ...... ...... pid=xxxx
則可嘗試測試cookie中的越權