IDOR 漏洞报告：AddTagToAssets 操作名称

漏洞概述

不安全直接对象引用（IDOR）发生在应用程序暴露对内部实现对象的引用时。这种方式会泄露存储后端使用的真实标识符和格式/模式。最常见的例子（但不限于此）是存储系统（数据库、文件系统等）中的记录标识符。

IDOR 本身不会直接带来安全问题，因为它仅暴露对象标识符的格式/模式。但根据具体的格式/模式，攻击者可能利用其发起枚举攻击，尝试访问相关对象。

漏洞端点

https://hackerone.com/graphql

复现步骤

1. 创建两个 H1 账户（攻击者和受害者），分别创建范围资产

2. 受害者创建新的自定义标签

3. 将标签分配给攻击者的范围资产，捕获请求

4. 获得包含 operationName: AddTagToAssets 的请求，其中 tagId 参数包含 base64 密文

5. 解码后格式为：gid://hackerone/AsmTag/4979xxxx

6. 暴力破解 AsmTagId 并替换 tagId 参数

7. 将获得 200 OK 响应状态，包含错误信息：

{"data":null,"errors":[{"message":"AsmTag does not exist","locations":[{"line":2,"column":3}],"path":["addTagToAssets"],"type":"NOT_FOUND"}]}

8. 通过查看资产页面，仍可成功泄露受害者的自定义标签，无需受害者任何交互

修复建议

IDOR 意味着在查询中直接使用用户提交的数据修改数据库对象，而没有检查或验证该数据。应首先检查提交请求的用户是否篡改数据，以及是否提交了不属于其账户的任何 ID。

影响

导致在无需受害者任何交互的情况下泄露受害者所有新的自定义标签。

时间线

• 2024 年 7 月 31 日：漏洞提交

• 2024 年 11 月 26 日：发放赏金并请求复测

• 2024 年 12 月 16 日：确认修复并支付 $175 复测奖励

• 2025 年 6 月 8 日：漏洞报告公开

技术细节

漏洞证明视频文件详见附件。平台最终确认并修复了该漏洞，复测确认漏洞已无法复现。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手