hackerone-bohemia-2018-09-h-287789

IDOR to view User Order Information

IDOR를 통해 다른 유저의 주문 정보와 IP 주소를 볼 수 있었다. 로그인을 한 뒤 https://store.bistudio.com/order/{order_id}?confirmed=true URL에 order_id를 조작하여 GET 요청을 보내면 해당하는 주문에 대한 정보를 볼 수 있었다. 자신의 주문 정보가 아닌, 다른 유저의 주문 정보를 조회할 수 있었고 여기에는 IP나 가격 등의 정보를 볼 수 있었다.

tags: bughunting, wstg-athz-04, idor, severity high, web hacking

Digital garden

Explorer

hackerone-bohemia-2018-09-h-287789

hackerone-bohemia-2018-09-h-287789

IDOR to view User Order Information

Graph View

Table of Contents