文章总结： 本文记录了一次授权渗透测试中发现的不安全的直接对象引用漏洞。测试人员发现系统后端缺乏严格权限校验，通过修改API请求中的ID参数可遍历获取所有用户敏感信息，且数据未脱敏。这暴露了系统访问控制缺陷，建议开发人员加强后端鉴权逻辑，确保用户仅能访问授权范围内的资源。 综合评分： 72 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验,数据泄露

简简单单的IDOR导致大量信息泄露

原创

pippybear

安全无界

2025年12月29日 22:56 上海

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

很早之前的授权渗透，系统还是那一如既往的登录系统，不过这次好一点的，有注册功能，还没有开始就能预测到顺利的结局。

话不多说，直接上正文，按照注册流程先注册一个账号先，然后登录系统。

emmmm，似乎还挺人道的，并不是一些中看不中用的功能，而且可看的功能还不少。

而且一上来就是王炸，因为我是新创建的账号，所以信息这里是空的，但是看过我前面文章的都知道，有时候会有那么个逻辑漏洞，置空过滤参数可能获取系统其它的信息，带着同样的想法，小小的检索了一下。

emmm，虽然没有预期的效果，但是也不差，置空参数虽然没有给出系统所有信息值，但是输入任意姓名却能检索到其他用户敏感信息，好家伙，而且还都没有脱敏。

这么看来这个系统可能只是简单的前端校验，并没有在后端对凭证权限进行校验。那么可能其他点也存在，直接一个一个尝试，事实证明我的想法很有道理。

申请报文中存在一个API，可遍历ID获取系统用户敏感信息，至于这个ID值是在上个接口里面找到的值拼接进去的，主打就是丝滑，打完收工。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全无界 pippybear《简简单单的IDOR导致大量信息泄露》