IDOR Add/Done Task Pada API Progrez Cloud

progrez.cloud

About Progrez cloud

Progrez Cloud adalah aplikasi untuk menegement project yang dapat diakses melalui web browser maupun mobile application , saat ini Progres Cloud memiliki beberapa fitur diantaranya :

Manage ProjectsMonitoring WebsitePersonal Blogetc

Insecure Direct Object Reference (IDOR) terjadi saat aplikasi menyediakan akses langsung ke objek berdasarkan masukan yang diberikan pengguna. Hal ini memngkinkan hacker untuk mem-bypass autentifikasi standar dan mengakses catatan database maupun sumber daya lain.

Karena platform ini berjalan pada environment production maka rasanya tidak etis jika menggunakan data production sebagai bahan uji penetrasi, oleh karena itu untuk melakukan uji penetrasi ini dibutuhkan setidaknya 2 akun tester yang didapat dengan memanfaatkan fitur Signup.

2 akun ini akan bertindak sebagai :

1 akun sebagai attacker1 akun sebagai victim/target.

Celah keamanan IDOR ini terdampak pada API Add/Done Task yang mengakibatkan attacker dapat menambahkan setiap Task victim/target.

Kita memerlukan token dan user_key agar dapat menggunakan APIlogin ke dashboard terus buat/create project dan ambil tokennya

3. Masuk ke profil terus klik Generate New UserKey untuk mendaptkan Key

Untuk melakukan add task pada API progrez cloud, hal yang di perlukan selain token dan user_key attacker juga harus mengetahui parent_id pada project korban/victim.

Untuk mendapatkan perent_id disini attacker memanfaatkan postingan blog
https://blog.progrez.cloud/read/hall-of-fame-16487 pada bagian akhir blog yang berupa angka 16487 ini merupakan task_id pada project.

Lakukan intercept dan pilih salah satu task, kemudian ganti task_id, attacker memanfaatkan task_id yang telah di dapat 16487.

Respon in browser

Sampai disini attacker telah memenuhi persyaratan API add task selain token dan user_key dengan parent_id 14717
script untuk melakukan add task sebagai berikut :

jalankan dari browser dan hasilnya

OK, add task berhasil, kemudian attacker mengambil return_id nya 16528, return id merupakan task_id. Karna yang di targetkan adalah progrez blog, di progrez blog postingan akan tampil di front end jika tasknya sudah di centang/done.

Pada bagian centang/done task attacker tidak lagi memerlukan parent_id melaikan task_id, attacker akan melakukan centang/done task pada task_id 16528 yang telah di dapatkan sebelumnya.

script untuk Done task :

hasilnya

12 Aug 2020 15:12 : Bug Reported12 Aug 2020 15:30 : Triaged12 Aug 2020 15:56 : Bug FixedOWASP — Insecure Direct Object Reference IDORLinuxSec — Memahami dan Menemukan Kerentanan Insecure Direct Object Referencezetc0de — IDOR Delete Project Pada Progrez Cloud