ВладБэкенд разработчик, вкатываюсь в багхантингВладhttps://teletype.in/atom/vladpi2026-05-13T09:43:41.832Zvladpi:one-task-of-month-june-2024Райтап Bug Bank от CyberED 2024-07-28T14:32:56.935Z2024-07-28T14:33:27.907Z<img src="https://img4.teletype.in/files/fe/6e/fe6ee7d0-d9ac-4562-bd09-7410701e6e6a.png">
<h2 id="WVFy">TLDR</h2>
<ul id="YRHk">
<li id="2mG1">В API эндпоинте <code>GET /api/auth/user/<uid></code> уязвимость типа IDOR, а также раскрытие секретных данных.</li>
<li id="JCad">Чужой <code>uid</code> можно получить зная номер телефона жертвы, отправив ей средства через эндпоинт <code>POST /api/send/send-by-phone/</code> – в ответ придет <code>uid</code> жертвы.</li>
</ul>
<h2 id="PdMc">Как я до этого дошел</h2>
<p id="qYQN">Анонс задачи:</p>
<blockquote id="EaLq">Интересно, какое кодовое слово у Эллиота?<br />Таск на IDOR в воображаемом банке Bug Bank, основанный на настоящем багбаунти отчёте, c платформы BI.ZONE Bug Bounty</blockquote>
<p id="3nvV">Из анонса задачи делаю следующие выводы:</p>
<ul id="abCk">
<li id="GpOp">Нужно узнать кодовое слово Эллиота</li>
<li id="mmck">Заложенная уязвимость – IDOR</li>
</ul>
<p id="b7rt">При ознакомлении с сайтом Bug Bank заметил что в отзывах указывается номер телефона автора отзыва и в списке отзывов есть Эллиот: </p>
<figure id="3X2d" class="m_original">
<img src="https://img4.teletype.in/files/fe/6e/fe6ee7d0-d9ac-4562-bd09-7410701e6e6a.png" width="1242" />
</figure>
<p id="VDEt">Регистрируемся и заходим в аккаунт, на странице с информацией о профиле можно посмотреть свое кодовое слово: </p>
<figure id="fHwg" class="m_original">
<img src="https://img1.teletype.in/files/ce/c4/cec47df3-703e-442c-a6fc-829746dfb23c.png" width="1242" />
</figure>
<p id="u1pU">При нажатии на кнопку "Request code word" в Burp Suite ловлю такой запрос:</p>
<figure id="vCah" class="m_original">
<img src="https://img2.teletype.in/files/1e/9b/1e9b2fd0-7553-46b9-a8c0-d755d24d9167.png" width="1440" />
</figure>
<p id="0MvC">То есть в API передается <code>uid</code> а в ответе получаем всю информацию по пользователю (в том числе и кодовое слово) с таким <code>uid</code>. Очень похоже, что IDOR именно в этом эндпоинте, но так как <code>uid</code> это UUID4, перебирать значения – такая себе идея. Запомнил этот метод и пошел смотреть дальше на функциональность банка.</p>
<p id="Z80C">Последний доступный раздел – "Transfer", в нем можно перевести деньги по номеру телефона:</p>
<figure id="Xi0C" class="m_original">
<img src="https://img4.teletype.in/files/30/a6/30a675e3-26bd-4f19-bfdb-8cf4809c68ec.png" width="1242" />
</figure>
<p id="DdvM">Ввожу номер Эллиота со страницы отзывов, отправляю перевод и смотрю в Burp Suite на запросы. При переводе отправился один запрос, в ответе которого приходит какой-то <code>uid</code>:</p>
<figure id="fgbX" class="m_original">
<img src="https://img1.teletype.in/files/cc/89/cc892b1b-439d-4f5c-8182-242272b80bed.png" width="1440" />
</figure>
<p id="ZqOf">Пробую сунуть этот <code>uid</code> в запрос на получение информации о пользователе, и бинго, это оказался <code>uid</code> Эллиота. Кодовое слово Эллиота у нас :)</p>
<figure id="fVzk" class="m_original">
<img src="https://img4.teletype.in/files/75/3b/753b722a-471e-46d2-8a93-d6b2805c4819.png" width="1440" />
</figure>