文章总结： 文章详细描述了一个IDOR漏洞导致攻击者能未经授权访问不同组织的员工敏感信息，包括PII数据，影响严重。作者通过修改请求参数XXXXId绕过授权，发现并报告了多个IDOR问题，累计在一个私人漏洞赏金计划中获超10000美元奖励。漏洞的根本原因是缺少对象级授权验证，建议开发者加强访问控制。 综合评分： 87 文章分类： 漏洞分析,渗透测试,威胁情报,漏洞预警,安全建设

0145.一个简单的 IDOR（身份识别错误报告）如何让我获得超过 10000 美元的赏金

原创

Sachin Aneja Sachin Aneja

Rsec

2026年4月13日 10:43 贵州

在小说阅读器读本章

去阅读

本文章仅用网络安全研究学习，请勿使用相关技术进行违法犯罪活动。

声明：本文搬运自互联网，如你是原作者，请联系我们！

类型：IDOR

访问控制漏洞仍然是现代 Web 应用程序中最具破坏性的漏洞之一。在本篇博客中，我将详细介绍一个简单的 IDOR（不安全直接对象引用） 漏洞如何导致敏感员工数据遭到未经授权的访问，并最终为我赢得了 1000 美元的赏金。

除了这个具体案例之外，我还在同一应用程序的不同端点和参数中发现了多个 IDOR 漏洞。每个漏洞的赏金都根据其严重程度而定 ——P2 级漏洞赏金约为 1000 美元， P3 级漏洞赏金约为 450 美元， P4 级漏洞赏金约为 150 美元。通过持续识别并负责任地报告这些问题，像 IDOR 这样看似简单的漏洞类型让我从一个私人漏洞赏金计划中获得了超过 10000 美元的奖励，这充分说明了彻底测试访问控制缺陷的重要性和回报。

#

漏洞概述

标题： IDOR 导致访问其他用户公司 PII 信息 端点： /expense/admin/getallusers 影响： 未经授权访问不同组织中的员工数据

该漏洞允许攻击者通过简单地修改 POST 请求中的一个参数，从其他公司检索所有员工的数据。

🧪 重现步骤 访问 https://example.com/ 并使用提供的测试凭据登录，然后转到 “我的”→“费用管理” ，这将重定向到一个新的仪表板；从那里，访问 “配置”→“用户” ，并使用 Burp Suite 拦截请求。

找到易受攻击的 API 调用

POST Host: example.com/expensemanagement/admin/getallusers

其中请求体包含类似 { "XXXXId": "XXXXXX" } 的参数。通过将 XXXXId 值修改为另一个有效的 ID（例如 XXXXXX ）并转发请求，即可成功利用 IDOR 漏洞。

🚨结果

返回的响应如下：

• 员工完整名单
• 隶属于另一个组织

这证实了由于缺少授权检查而导致的经典 IDOR 漏洞。

📉 影响力

此漏洞暴露了：

• 员工姓名
• 组织数据
• 潜在敏感的 PII

攻击者可能：

• 列举多个组织
• 大规模收集员工数据
• 可将其用于网络钓鱼或其他攻击

#

根本原因

该申请未能：

• 验证已认证用户是否有权访问所请求的 XXXX Id
• 强制执行对象级授权

💡 结语

这再次提醒我们，即使是成熟的应用程序也可能存在基本的访问控制缺陷。发现这类问题并不总是需要复杂的技术——只需要好奇心和对细节的关注。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Rsec Sachin Aneja Sachin Aneja《0145.一个简单的 IDOR（身份识别错误报告）如何让我获得超过 10000 美元的赏金》