👨‍💻 引言

大家好，我是Antonio Rivera，一名安全研究员、漏洞猎人和道德黑客。我曾为多家公司提供安全防护，获得过漏洞赏金、名人堂提名以及感谢信。

本文将讲述我在测试某个Web应用时发现的Broken Object Level Authorization（BOLA）漏洞。

🕵️‍♂️ 侦察阶段

测试新应用时，我首先会创建几个测试账户。这有助于我从不同角度观察应用的行为方式。

我花时间探索了表单、菜单和页面，以了解数据在用户之间的流动方式。

💥 IDOR漏洞

在理解应用逻辑后，我开始测试自己账户的IDOR漏洞。起初没有任何发现。尝试了其他测试方法（如竞争条件检测和业务逻辑检查），但仍无结果。

随后在审查请求时，一个接口引起了我的注意：

1
2
3
4
5
6
7
8

POST /restapi/soa2/ID/userDelete
{
  "operation":"userDelete",
  "params":{
    "uid":"MyID",
    "companyId":"clapthispost1234"
  }
}

这个请求看似普通，但我决定使用其他账户的令牌进行测试。令人惊讶的是，操作竟然成功了——这正是IDOR漏洞存在的确凿证据。

🏁 经验总结

这次经历印证了一个简单真理：细致的观察和攻击者思维往往能发现自动化工具容易忽略的问题。

漏洞标签：IDOR漏洞 | 漏洞赏金 | 信息安全 | 网络安全