Insecure direct object references (IDOR) are a type of access control vulnerability that arises when an application uses user-supplied input to access objects directly. The term IDOR was popularized by its appearance in the OWASP 2007 Top Ten. However, it is just one example of many access control implementation mistakes that can lead to access controls being circumvented. IDOR vulnerabilities are most commonly associated with horizontal privilege escalation, but they can also arise in relation to vertical privilege escalation.
Halo semuanya,
Pada tulisan kali ini saya mau menulis bagaimana cara saya mendapatkan Bug IDOR pada NFT Marketplace. Jadi dengan bug ini saya bisa merubah data profile / wallet profile orang lain tanpa harus login ke profile tersebut.
Seperti biasa yang pertama saya cari ketika melakukan pentest pada website saya hanya nyari bug bug yang menurut saya simple. Jadi, pertama saya mengincar bug seperti Sensitive Data Exposure, Karena nyarinya cukup simple yaitu dengan cara Inspect Element pergi ke tab Sources lalu kita ubek ubek disana, tapi ternyata saya tidak menemukan apapun dan tidak ada yang menarik.
Sebenernya sampe sini saya sudah tidak ada niatan untuk research kembali. Tapi ketika saya coba connect wallet ke NFT Marketplace tersebut, lalu saya coba Inspect Element lalu ke tab network buat sniff http request dan mencoba untuk Edit Profile disitu ada hal yang menarik perhatian mata saya
Dan disitu saya berpikir bagaimana kalau saya coba untuk ganti id user dengan id orang lain dan saya coba request dengan curl, saya coba copy curlnya dan saya coba curl di terminal
dan boom!!!!, data dari user tersebut berubah!!!
Timeline :
~ 21 July 2022 : Bug Reported
~22 July 2022 : Confirmed, Bug Fixed and he will give me some NEAR
~30 July 2022 :
