2022年04月08日
不安全的立即目标引入(IDOR也称滥用权力)是一种十分普遍的Web受权逻辑性型漏洞,其漏洞利用伤害有时候不大,有时候也十分比较严重,今日咱们就来探讨一种比较严重型的IDOR漏洞利用方法-即利用IDOR完成账户或项目的劫持。创作者以该漏洞利用方法在好几个众测项目中得到了高达$25,000的奖赏悬赏金。
网络攻击若劫持了受害人账户就能以受害者真实身份实行全部账户自然环境实际操作了。网络攻击若劫持了项目,就可以得到对应的项目管理员权限。有时候,IDOR进攻不可以完成对总体目标账户的彻底劫持,但却可以