i_SavAnna Oct 7 at 15:37

Денежная ловушка или эксплуатация BAC биллинга

Easy

3 min

5.2K

Bug hunters * Information Security * Perfect code *

Case

+10

Comments 9

ArtemiiZ Oct 7 at 16:06

До сих пор умиляет, когда в 2025 г. видишь userid и orderid в int. Но, подозреваю, скоро таких примеров станет ещё больше.

tuxi Oct 7 at 16:33

Проблема не в инкременте, а в том, что не проверяется принадлежность. Ее надо проверять энивей, хоть у вас идентификатор в виде гуид, хоть в виде лонга. Это сама по себе большая дырка, и гораздо более опасная.

ArtemiiZ Oct 7 at 17:04

Естественно это главная проблема, однако каждый раз, в срочном порядке запиливая новую фичу к существующему функционалу, такие дыры возникают повсеместно. Но, при непредсказуемых id этими дырами крайне сложно воспользоваться. Что помогает поправить эту ошибку в будущем без потерь для компании.

tuxi Oct 7 at 17:19

Все так, но все же любой чувствительный сервис надо начинать писать с аутентификации/авторизации (области доступности к данным, возможности выполнять те или иные операции), иначе брутфорс творит чудеса, да и создание какой-либо сущности часто не требует никакого ID, так как она создается.

ArtemiiZ Oct 7 at 18:27

Полностью согласен. Но IDOR одна из самых "популярных" уязвимостей и по сей день.

xSVPx Oct 7 at 18:25

Разве проблема не в том, что вместо отмены транзакции деньги куда-то возвращают ? Да еще не туда откуда получили, а куда-то еще.

tuxi Oct 7 at 18:40

Это тоже проблема.

xSVPx Oct 9 at 10:47

Это как по мне - основная. Ну т.е. никакие схемы с "получили от Х - вернули Y" работать не должны. Иначе об вас такого наотмывают. Тут явно плохой дизайн в механизме возврата средств. Прям очень плохой.

AnotherAnkor Oct 8 at 07:54

Я извиняюсь, но скока деняк? А то может было целесообразнее эксплуатировать эту уязвимость, если они жадные.