چگونه توانستم آسیب پذیری ۶۰ میلیون تومانی Mass Assignment را برروی وبسایت راورو کشف کنم؟

آن‌چه می‌خوانید، رایتاپ محمدجواد بناروئی (@hitman) ، از فرآیند کشف آسیب‌پذیری Mass Assignment برروی سامانه‌ی راورو است که درنهایت با رسیدن به آسیب‌پذیری Broken Access Control به بانتی ۶۰ میلیون تومانی از راورو منجر شده است.

درباره‌ی محمدجواد:

محمدجواد شکارچی آسیب پذیری و متخصص تست نفوذ برنامه‌های تحت وب است. ۲۱ سال سن دارد. اهل جنوب، دیار دریا و خطه‌ی مردمان خون‌گرم شهر بندرعباس است. دو سال است که به‌صورت حرفه‌ای به شکار آسیب پذیری می‌پردازد.

داخل پرانتز:

محمدجواد گزارش مربوط به این رایتاپ را پیش از این در پلتفرم راورو و برای میدان راورو ثبت کرده و آسیب‌پذیری نیز به طور کامل رفع شده است.

پیشنهاد خواندنی: پرداخت ۶۰ میلیون تومان بانتی در ازای گزارش یک حفره امنیتی، توسط راورو

داستان از کجا شروع شد؟

مقدمه:

داستان از آن‌جایی شروع شد که طی یک اطلاعیه متوجه شدم که در قوانین میدان راورو، بازه و محدوده‌ی بانتی تغییرهایی ایجاد شده بود. این تغییرات توجه من را برای بررسی به خودش جلب کرد و فرصتی شد که بتوانم برروی هدف راورو کار کنم. بازه‌ی مبلغ بانتی راورو هم برای من جذاب بود و ارزش صرف وقت زیاد روی این پلتفرم را داشت.

شروع ماجرا؛ تلاش اول

شروع کار من با توجه به قوانین میدان، این بود که یک Recon قوی از تارگت داشته باشم و همه‌ی Endpoint های مهم که به‌نظرم، می‌توانستند من را به یک آسیب پذیری برسانند، را جمع‌آوری کردم. جمع آوری Endpoint ها، و این‌که چه پارامترهایی برای هر API قرار داده شده‌اند، مرحله‌ی مهمی از جمع آوری بود که در شکار آسیب پذیری کمکم کرد. شروع دسترسی و آشنایی به تمامی API ‌ها برای من زمانی رخ داد که سایت راورو در حال به‌روزرسانی بود و از تکنولوژی GraphQL استفاده می‌شد. بر همین اساس یک مشکل Misconfiguration از سایت راورو در جریان به روزرسانی سایت، در جایی از مسیر که GraphQL روی مد development بالا بود، پیدا کردم، https://www.ravro.ir/api/graphql?query=query

Rabbit Facts That Will Blow Your Mind

حدود 2 سال قبل