informative olarak kapatılan IDOR

[YOHOHOHOHOHO]

Herkese iyi akşamlar aklımda birşey takıldı bunun için buraya yazmak istedim

Geçen günlerde bi uygulamada alışveriş sepetinin session id değerini değiştirerek başkasının sepetine hem ulaşıp hemde ürünlerinin sayısını arttırabiliyordum. ( CARD İD VE NORMAL İD DEĞERLERİNİ DE GÖREBİLİYORDUM TABİKİ SAYISAL DEĞER DEĞİL ŞİFRELİ DEĞERLERİNİ)

Fakat bunu rapor ettiğimde ise adamlar bana ;

Bu raporun gerçekçi bi yanı yok , session idler xss gibi zafiyetlerle çalınıyor ve burp suite üzerinden bunu yakalayıp değiştirmeniz birşey ifade etmiyor gibi bi dönüş yaptı

Daha önce buna benzer yaşayan varmı informative olarak da kapandı

---- HACKERONE ÜZERİNDEKİ Bİ BBP

 

[baldwin]

Başkasının sepetini görebilmek başlı başına bir zafiyet. triyaj ekipleri aşk acısı çekiyor herhalde

 

[YOHOHOHOHOHO]

Başkasının sepetini görebilmek başlı başına bir zafiyet. triyaj ekipleri aşk acısı çekiyor herhalde

valla abi de ne diyim sağlık olsun medium veya twitterden da bunların daha kötüsünü görmüştüm.

raporu kapatan triyaj ; h1_analyst_geralt

 

[meksec]

Herkese iyi akşamlar aklımda birşey takıldı bunun için buraya yazmak istedim

Geçen günlerde bi uygulamada alışveriş sepetinin session id değerini değiştirerek başkasının sepetine hem ulaşıp hemde ürünlerinin sayısını arttırabiliyordum. ( CARD İD VE NORMAL İD DEĞERLERİNİ DE GÖREBİLİYORDUM TABİKİ SAYISAL DEĞER DEĞİL ŞİFRELİ DEĞERLERİNİ)

Fakat bunu rapor ettiğimde ise adamlar bana ;

Bu raporun gerçekçi bi yanı yok , session idler xss gibi zafiyetlerle çalınıyor ve burp suite üzerinden bunu yakalayıp değiştirmeniz birşey ifade etmiyor gibi bi dönüş yaptı

Daha önce buna benzer yaşayan varmı informative olarak da kapandı

---- HACKERONE ÜZERİNDEKİ Bİ BBP

Dostum yazım hatan olabilir mi? session id değiştirerek başkasının sepetine erişmen normal birden fazla hesapla test ettiğini sanıyorum ve sonuçta o sistemde kayıtlı oturumun var session id yi girince sistem seni zaten tanımak zorunda ve önemli nokta session id değiştirmen değil session id ye ulaşıp değiştirmek p5 alman gayet normal

 

[YOHOHOHOHOHO]

Dostum yazım hatan olabilir mi? session id değiştirerek başkasının sepetine erişmen normal birden fazla hesapla test ettiğini sanıyorum ve sonuçta o sistemde kayıtlı oturumun var session id yi girince sistem seni zaten tanımak zorunda ve önemli nokta session id değiştirmen değil session id ye ulaşıp değiştirmek p5 alman gayet normal

anlamadım

 

[YOHOHOHOHOHO]

Dostum yazım hatan olabilir mi? session id değiştirerek başkasının sepetine erişmen normal birden fazla hesapla test ettiğini sanıyorum ve sonuçta o sistemde kayıtlı oturumun var session id yi girince sistem seni zaten tanımak zorunda ve önemli nokta session id değiştirmen değil session id ye ulaşıp değiştirmek p5 alma

aaaa şimdi anladım , doğru diyon +1

 

[YOHOHOHOHOHO]

Dostum yazım hatan olabilir mi? session id değiştirerek başkasının sepetine erişmen normal birden fazla hesapla test ettiğini sanıyorum ve sonuçta o sistemde kayıtlı oturumun var session id yi girince sistem seni zaten tanımak zorunda ve önemli nokta session id değiştirmen değil session id ye ulaşıp değiştirmek p5 alman gayet normal

adamlarda zaten öyle kapattı raporu

 

[meksec]

aaaa şimdi anladım , doğru diyon +1

cansın