Razorpay二维码IDOR漏洞分析

漏洞详情

Razorpay API端点存在不安全直接对象引用（IDOR）漏洞：

1

GET /merchant/api/live/payments/qr_codes/{qr_id}/payments

当提供有效的qr_id时，该端点返回敏感的客户支付详细信息，包括：

• UPI ID
• 账户标识符
• 时间戳
• 交易历史记录

实质上：如果攻击者获得了qr_id，就能够在未经适当授权的情况下检索客户交易数据。

qr_id获取方式

公开暴露：二维码本应由商家共享（在YouTube演示等场景中展示）。

OSINT档案：使用Wayback Machine，我发现了包含有效qr_id值的存档Razorpay仪表板页面。

这表明qr_id并不像声称的那样保密。一旦暴露，攻击者就可以滥用它。

概念验证

1. 从公开共享的二维码或存档的Razorpay页面获取qr_id
2. 调用端点：GET /merchant/api/live/payments/qr_codes/{qr_id}/payments

API响应包含多个客户支付详细信息的JSON数据：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

{
  "id": "已脱敏",
  "entity": "payment",
  "amount": 1000,
  "currency": "INR",
  "status": "captured",
  "method": "upi",
  "vpa": "已脱敏@ybl",
  "email": "已脱敏",
  "contact": "已脱敏",
  "created_at": 1726534884
}

这明显是信息泄露的IDOR漏洞证据。

Razorpay的响应

Razorpay承认了该问题并部署了修复程序（端点现在返回错误）：

1
2
3
4
5

{
  "status_code":400,
  "success":false,
  "errors":["The id provided does not exist"]
}

但在审查后，他们在HackerOne上将报告关闭为"信息性"。

他们的理由：

• qr_id是高熵标识符，旨在保持机密
• 商家有责任保护它
• 基于OSINT/Wayback的发现不在其项目范围内

个人观点

虽然我尊重他们的立场，但我认为严重性更高：

设计缺陷，而非商家错误：二维码本质上是公开的。假设qr_id保密是薄弱的设计。

敏感数据泄露：客户支付详细信息直接暴露——不仅仅是元数据。

现实世界可发现性：Wayback Machine中的存档Razorpay仪表板页面暴露了有效ID。这不是暴力破解，而是OSINT。

已部署修复：如果真的是"信息性"，就没有必要修补。

经验教训

研究人员：始终检查范围规则——有些项目排除OSINT或第三方档案。

组织：当这些值自然共享或可能被存档时，不要依赖"秘密"标识符。

社区：信息性和中等严重性之间存在灰色地带。现实世界的利用风险很重要。

最终思考

这份报告通过HackerOne负责任地提交。Razorpay修复了这个弱点，这最终是一个积极的结果。

但将其分类为信息性为社区提出了一个重要问题：👉 当通过IDOR可能暴露敏感客户数据时，基于OSINT的复现是否应排除其被认定为有影响力？

我很想听听其他研究人员的想法。这真的是信息性的，还是更接近中等/高严重性问题？