一枚Cookie窃取所有账户：IDOR漏洞实战分析

作者：Parth Narula
渗透测试员、漏洞赏金猎人、红队队员兼安全研究员

各位黑客朋友们，我是Parth Narula。我致力于通过突破常规思维发现关键漏洞，今天要分享的是我在某社交平台发现完整账户接管漏洞的经历——不是通过破解加密，而是简单地修改了Cookie中的一个名称。

假设目标平台为[已隐去]。与所有现代平台一样，该平台具有用户发布公开更新的功能，我们暂称为"Posts2Share"。其逻辑很简单：编写消息后点击"发布"，内容就会显示在个人资料中供他人查看，类似X平台的发帖功能。

我首先使用测试账户"2pentest"登录，访问发帖页面https://redacted/search/some_file.php，输入消息后启动Burp Suite拦截请求。

以下截图来自我的2pentest账户，同时使用了另一个测试账户1pentest

[点击查看完整图片] [点击查看完整图片]

如上所示，我可以对另一用户（本例中是我的另一个账户1pentest）的帖子进行点赞、评论和举报。

POST请求发送至https://redacted/searchprofile/some_file.php。快速查看参数未见异常，但我的目光移到了Cookie头部：

1
2


fNN=2pentest
m4mSesNN=2pentest

[点击查看完整图片]

这些Cookie明显存储着用户名，服务器很可能据此判断发帖者身份。但它是否完全信任这些值呢？

如果我将这些Cookie的值改为其他用户名会怎样？

操作步骤：

保持以2pentest身份登录
拦截另一个"Posts2Share"发帖请求
在转发前修改Cookie值：
- fNN=2pentest → fNN=1pentest
- m4mSesNN=2pentest → m4mSesNN=1pentest
转发修改后的请求

[点击查看完整图片]

服务器返回200 OK响应。我屏住呼吸刷新公共动态……

在收件箱中获取Parth Narula的故事
免费加入Medium获取此作者的更新
订阅
订阅

结果出现了！我的帖子现在显示在平台上，但发布者身份显示为1pentest——要知道我们当前是以2pentest身份登录的。

[点击查看完整图片]

如果从1pentest账户访问该页面，可以看到帖子确实已发布，且该账户可以尝试删除帖子、评论等操作。

[点击查看完整图片]

该漏洞存在于平台的每个功能模块，包括账户删除、账户设置修改、发布评论、发送消息、点赞帖子等。

经验总结

绝不信任客户端：这是最重要的教训。任何来自客户端的数据——无论是Cookie、头部、POST主体还是URL参数——都必须视为已被污染且可能被攻击者完全控制。服务器必须作为授权决策的唯一可信源。

IDOR不仅存在于URL中：扩展你对"对象引用"的定义，它可能是：

希望你能从中获得新的启发。如果喜欢本文请点赞关注 :)

需要专业渗透测试服务？访问 https://scriptjacker.in 或联系合作项目！🤝
想学习我的经验？查看我在 https://blogs.scriptjacker.in 的文章

#IDOR #IDOR漏洞 #漏洞赏金 #漏洞 #会话安全 175 次鼓掌

回复（1）
撰写回复
你有什么想法？
取消回复

PRINCE VERMA
9小时前
很棒的发现在 ✨💥
3 回复

更多来自Parth Narula
Parth Narula
IDOR与业务逻辑缺陷如何暴露PII
10月28日
221 次鼓掌

Parth Narula
IDOR与业务逻辑缺陷如何暴露PII
10月28日
221 次鼓掌

10月28日
221 次鼓掌

查看Parth Narula的所有内容

Medium推荐
Be nice in sabat
我在BugCrowd私有漏洞赏金项目中如何发现账户接管漏洞
email@gmáil.com.burpcolab.com
10月30日
104 次鼓掌 4 次回复

Aman Sharma
“那个通过明文传输的750美元密码重置漏洞”
4天前
23 次鼓掌

InOSINT Team by Samina Perveen
漏洞赏金计划如何提升软件安全
5天前
57 次鼓掌

Aksoum Abderrahmane
Reddit平台中的访问控制破坏IDOR漏洞 $$
10月30日
28 次鼓掌

Abhishek meena
20个缓存中毒案例分析 | 真实漏洞报告深度解析
11月4日
70 次鼓掌 3 次回复

DOD cyber solutions
如何发现竞态条件漏洞？
3天前
3 次鼓掌

查看更多推荐