Cyber Security Enthusiast

Mengintip saldo customer lain melalui IDOR

M

Description

IDOR merupakan kepanjangan dari Bug Insecure Direct Object Reference yang mana efek nya akan membuat kita dapat mengakses objek/data lain tanpa harus melakukan otorisasi tertentu (sumber). Berikut penjelasannya:

  • Sebagai contoh disini misalnya kita sedang mengakses halaman edit profile milik kita sendri seperti www.contoh.com/edit.php?id_user=budi.
  • Nah, apabila website tersebut vulnerable terhadap celah IDOR maka pada bagian id_user=budi jika kita ganti menjadi id_user=eko maka akan menampilkan halaman edit profile milik user eko.

Affected Endpoint

  • http://api.[redacted]/v1/api/CustBalance

Steps to Reproduce

  • Pertama saya login menggunakan akun saya.
  • Setelah login dan saya coba lakukan intercept, terlihat bahwa aplikasi melakukan request untuk pengecekan saldo pada akun saya (aplikasi memiliki sistem mata uang virtual pribadi).
Hasil intercept pengecekan saldo di akun pribadi
  • Disini ketika pada bagian request di value phone saya rubah menjadi nomor telepon akun lain (sebut saja mawar), maka response akan menampilkan isi dari informasi saldo si mawar 🙂 dan saya tidak perlu secara spesifik mengganti value lain seperti id_member, key, dan dev_uniq apalah itu.
Hasil response dari request saldo akun mawar
  • Dari hasil diatas terlihat hasil bahwa saldo dari akun mawar adalah 1.280.474 IDR dan saldo bonus senilai 200.000 IDR (Huwaw!)

Miscellaneous

Dari sini apabila attacker memiliki niat jahat terhadap victim, tentu akan memudahkan attacker dalam memilih target dengan syarat doi harus memiliki list nomor telepon yang digunakan untuk login, h3h3. Nah! Telusur demi telusur, web target ternyata memiliki informasi “yang bocor” mengenai detail data milik customer yang baru saja melakukan top-up di akunnya, ini kalau bahasa keren nya itu bisa dibilang “Sensitive Information Disclosure”.

Sensitive information disclosure

Another jackpot? Hmm kek nya si gitu.

Add comment

Cyber Security Enthusiast