【网络安全】IDOR与JWT令牌破解相结合,实现编辑、查看和删除数万帐户

已于 2024-10-16 12:28:21 修改
阅读量3.5k 收藏 5
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 网络安全新手快速入门(附漏洞挖掘案例) 文章标签: web安全 漏洞挖掘 JWT
于 2024-10-15 16:36:14 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/142957791

未经许可,不得转载。

文章目录

在今年4月17日,笔者发过一篇关于 JWT 的文章,未学习过或稍有遗忘的朋友可以点击跳转:【网络安全 | 密码学】JWT基础知识及攻击方式详析

现分享一篇与 JWT 有关的漏洞挖掘案例。

前言

我在某公共漏洞奖励计划的应用程序API中发现了两个关键漏洞,这些漏洞严重危及用户数据和账户安全。第一个漏洞允许通过未受保护的API端点获取未经授权的用户敏感数据,第二个漏洞则利用了弱加密的JSON Web Token(JWT)密钥,使攻击者能够冒充用户执行敏感操作。

漏洞1

第一个漏洞涉及一个不安全的API端点(/api/v1/redacted1/redacted2/:id),该端点暴露了用户的敏感信息。攻击者只需发送带有有效订单ID的GET请求,即可以JSON格式获取详细的用户信息。此漏洞暴露了超过16万用户的个人数据,可能导致严重的隐私泄露。暴露的数据包括:

用户ID
电子邮件地址
账户状态(免费或付费域名)
账户示例名
订阅详情
交易ID
支付状态
关联的配置文件名

在这里插入图片描述

通过修

了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全IDOR实现ATO(账户接管)
等风来
08-11 1890
进入B账号,拦截查看个人信息的请求包,当前时间戳为1349328731,立马将user_id由B的id更改为A的id,但服务器返回错误,这预想的有些出入
网络安全】分析cookie实现PII IDOR
等风来
08-27 1878
目标:公共电子商务类型的网站,每月有大约6万到10万访问者,注册用户大约有5万。
网络安全 | 漏洞挖掘】2500 美元:通过 JWT IDOR 实现账户接管
等风来
03-26 329
由此可以明确,在会话中存储了一个 JWT,经过加密后,user_id 以 “User:01946fa0-xxxxxx-04f8–0000-xxxxxxxxx” 的形式暴露在请求中。经过测试,我发现,只要能够访问 “User:01946fa0-xxxxxx-04f8–0000-xxxxxxxxx”,那么就可以修改该用户的账户数据,实现账户接管。我点击"提交新名称"时,请求会携带一个 JWT 令牌请求体,我们重点关注请求体中的user_id字段。如果信息正确且系统接受更改,则返回成功响应(200 OK)。
网络安全】利用 IDOR 的密码重置功能实现账户接管
等风来
09-01 1770
该应用程序退休财务规划有关,包含许多功能较少的子域。它具有严格的 WAF 速率限制,因此只能选择手工渗透测试。
Web安全】浅谈IDOR越权漏洞的原理、危害防范:直接对象引用导致的越权行为
HEX9CF的技术博客
11-19 2828
IDOR的原理是攻击者通过修改对象的标识符,绕过权限验证,访问到不应该被其所见的资源。不仅要验证过滤表单中的数据,还要对所有对象引用相关的输入参数进行校验,包括URL中的参数、请求头中的参数等。不安全的直接对象引用(Insecure Direct Object Reference,简称IDOR)是一种安全漏洞,指在系统中直接暴露敏感对象的引用,使攻击者可以通过修改对象引用来越权访问未经授权的资源。通过使用间接引用,可以隐藏真实的对象引用,只暴露一个代理或中间层的引用,以增加攻击的难度。
网络安全 | 漏洞挖掘】APDCL:IDOR + 账户接管
等风来
07-13 2760
APDCL ,即印度阿萨姆邦电力分销公司(Assam Power Distribution Company Limited),是印度阿萨姆邦政府控制的公共部门企业,负责电力分配供应服务,确保电力供应的稳定性可靠性,以满足居民、工业商业客户的电力需求。
网络安全IDOR之敏感数据泄露
等风来
09-03 1861
这表明系统在处理请求时,未对 assetId 参数进行适当的访问控制或权限检查,从而允许未授权的操作。
网络安全漏洞挖掘IDOR实例
等风来
08-19 1899
点击Documents > Download后,应用程序将执行 HTTP GET 请求
网络安全IDOR之请求包分析
等风来
08-26 1741
发包后,我能够检索我玩过的所有游戏的列表。然后,我将自己的用户名更改为其他用户的用户名,同样也可以检索他们的数据。
每周5小时“隐形流失”,如何精准锁定并回收?
endpointcentral的博客
12-23 370
摘要:数字化办公中,员工每周平均浪费5小时访问非工作应用,导致中型企业年损失数百万元,并增加安全风险。传统管控方式已失效,需智能化解决方案。"智能黑名单"技术能精准管控应用,平衡效率安全,需具备精细化策略、即时威胁响应双重精准识别能力。
Web安全中SQL注入绕过WAF的具体手法实战案例
2401_84466227的博客
12-25 1112
摘要:本文探讨了绕过WAF进行SQL注入的主要手法,包括基础符号替换、编码混淆、注释技巧等简单方法,以及协议变异、参数污染等高级技术。文章还介绍了SQLMap工具应用数据库特性利用等实战技巧,并从防御角度提出安全编码、WAF规则优化等建议。这些技术展示了WAF攻防对抗的核心思路,强调所有技术应仅用于合法安全测试研究目的。(150字)
生成对抗样本在网络安全中的工程化解读——AI 误报、误判对抗的真实边界
最新发布
oQianYuan的博客
12-27 850
*“生成对抗样本”**在网络安全工程中的真正意义,并不在于它是一种攻击手段,而在于它是一面镜子——它无情地映射出我们系统的盲区,嘲笑着我们对“正常业务”定义的肤浅,并逼迫我们走出“模型迷信”的舒适区。如果你有能力生成更复杂序列,可以训练一个生成模型(如 seq2seq、Transformer)学习正常轨迹的分布,然后通过条件采样或对抗训练生成“接近正常但语义偏移”的轨迹。当你不再被误报搞得焦头烂额,而是开始主动利用对抗样本去测试系统的边界时,恭喜你,你已经掌握了 AI 安全的工程化真谛。
汽车网络安全:SHA算法详细解析
2301_76563067的博客
12-19 1405
详细介绍SHA256算法,SHA256是SHA-2下细分出的一种算法 SHA-2,名称来自于安全散列算法2(英语:Secure Hash Algorithm 2)的缩写,一种密码散列函数算法标准,由美国国家安全局研发,属于SHA算法之一,是SHA-1的后继者。
【Geek渗透之路】小迪安全笔记——web安全(3)
geekgold的博客
12-21 902
摘要: 本文详细分析了IIS(Internet Information Services)的安全漏洞及其利用方法,重点探讨了数据库泄露、注入攻击、HTTP.SYS漏洞、短文件漏洞、解析漏洞及文件上传配置错误等风险。文章还介绍了AccessMySQL数据库的注入技术,包括回显注入、无回显注入、报错注入及堆叠注入等,并提供了防护建议。此外,针对文件上传漏洞,分析了多种绕过方式(如黑名单绕过、条件竞争、二次渲染等)及安全存储方案(如OSS对象存储)。最后,文章概述了XSS、CSRF、SSRF等常见Web攻击的原
万字详解Lampiao靶机渗透全流程:Drupalgeddon2漏洞+CVE-2016-5195脏牛漏洞复现
mooyuan的网络安全博客
12-26 1105
本文详细记录了通过脏牛漏洞(CVE-2016-5195)对Lampiao靶机进行渗透测试的全过程。首先使用nmap扫描发现靶机运行Drupal服务,利用Drupalgeddon2漏洞获取初始访问权限;随后上传漏洞检测脚本,确认存在脏牛漏洞;最后通过编译执行脏牛漏洞利用程序,成功将权限从www-data提升至root。实验环境包括Kali攻击机(192.168.59.141)Lampiao靶机(192.168.59.150),完整演示了从信息收集、漏洞利用到权限提升的渗透测试流程。
BAS模拟入侵攻击系统:前置防控核心,守护企业网络安全
2501_93360277的博客
12-23 944
数字化时代,网络威胁持续升级,黑客攻击手段愈发隐蔽、精准,企业数据泄露、系统瘫痪、业务中断等安全事件频发,给企业带来巨额经济损失品牌声誉损害。在此背景下,被动防御已难以抵御多变的网络威胁,主动探测、预判风险成为企业网络安全建设的核心诉求。而BAS(模拟入侵攻击系统)作为网络安全领域的核心技术工具,正以专业的攻防模拟能力,助力企业提前发现安全漏洞,筑牢主动防御防线。作为网络安全领域的核心模拟攻防系统,
Web安全方向的面试通常会重点考察哪些漏洞防御方案?
2401_84466227的博客
12-26 283
本文总结了Web安全面试中的核心漏洞类型及防御方案,包括SQL注入、XSS、CSRF等常见攻击原理应对策略。建议在面试中不仅要掌握基础知识点,更要展现思考过程实践经验:用逻辑链阐述漏洞原理,以STAR法则分享实战案例,并关注行业新趋势。备考时应通过靶场实践巩固知识,进行模拟面试提升表达能力。文章强调理论结合实践的重要性,为网络安全面试提供系统指导。
网络安全技术应用投期刊攻略
Wang15302191715的博客
12-27 578
传统网络安全算法在工程落地中存在执行效率低、适配性差、高并发场景下稳定性不足等问题,而Java语言具备跨平台、面向对象、多线程及安全机制完善的特性,成为实现网络安全算法的主流开发语言,基于Java实现高效、可靠的网络安全算法,对提升网络安全防护能力具有重要现实意义。二是拓展算法应用场景,完成在分布式网络安全系统中的落地验证。2. 工程应用类Java算法(易中,审稿宽松):Java实现安全系统算法优化(如日志分析、权限控制、数据脱敏算法)、分布式/高并发场景下的Java算法落地(如云安全平台的调度算法)。
Nmap+Fofa 一体化信息搜集工具打造
Bruce_xiaowei的博客
12-26 634
本文介绍了一款Nmap+Fofa一体化信息搜集工具的开发使用。该工具整合了Nmap的C段扫描能力Fofa API的资产查询功能,支持自动提取存活主机、域名解析IP、结果规范输出等核心功能。工具包含Nmap扫描模块(17种扫描类型、自动存活提取)、Fofa查询模块(支持多种查询方式、字段自动对齐)以及通用增强功能(异常处理、结果去重等)。安装配置简单,只需准备Python环境、NmapFofa API即可使用。该工具能显著提升渗透测试网络运维中的信息搜集效率,解决手动操作低效问题。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值