未經(jīng)許可，不得轉(zhuǎn)載。

不久前，我發(fā)現(xiàn)了一個我在高中時非常常用的知名應(yīng)用程序，它在Intigriti上是一個私有程序，本文稱之為REDACTED。

我開始參與REDACTED的漏洞賞金計劃，這個應(yīng)用程序在我開始進(jìn)行黑客攻擊之前我已經(jīng)非常熟悉了。最初我并沒有抱太高的期望。

我首先的做法是了解這個應(yīng)用程序的使用方式。我瀏覽了所有可以訪問的功能，并在每個功能上做了一些嘗試，而沒有陷入任何一個特定的細(xì)節(jié)。隨著時間的推移，我發(fā)現(xiàn)了一個IDOR（不安全的直接對象引用）漏洞，后來這個漏洞被評定為可接受風(fēng)險。

漏洞的具體情況如下：

我訪問了一個類似這樣的URL：

https://redacted.com/example/7ce9f641-e29a-4d01-bea1-2b83924d8358

該頁面的JavaScript會使用URL中的UUID來請求資源：

https://resources.redacted.com/resources/7ce9f641-e29a-4d01-bea1-2b83924d8358

該資源路徑在UUID參數(shù)上存在IDOR漏洞，這意味著任何用戶都可以訪問該特定路徑。