hackerone-us-dept-of-defense-h-741683
idor on upload profile functionality
https://██████████/███████ID/#Common/EditOne/Person/{account_id} 에서 account_id를 조작하여 IDOR가 가능했다.
이미지를 업로드하는 패킷을 잡아서 account_id를 다른 계정의 것으로 변경하면 해당 계정의 이미지를 변경할 수 있었다.
tags: bughunting, wstg-athz-04, idor, severity high, web hacking