Перейти к содержимому
← Каталог nodejs IDOR

IDOR: Доступ к чужому счёту в Express

Эндпоинт просмотра счёта в Express + better-sqlite3 не проверяет владельца ресурса. Получи доступ к счёту администратора и извлеки флаг.

easynodejsPro
Задача
# IDOR: доступ к чужим счетам ## Сценарий Перед вами интернет-магазин на Express + better-sqlite3. У каждого пользователя есть личные счета (invoices) — документы с информацией о покупках и платежах. Список счетов и страница деталей конкретного счёта доступны только авторизованным пользователям. Авторизация на этих страницах реализована, но это лишь **аутентификация** — сервер проверяет, что пользователь вошёл в систему. **Авторизация конкретного ресурса** (то есть проверка «вправе ли именно этот пользователь смотреть именно этот счёт») реализована не везде. Эта пара ошибок — классическая Insecure Direct Object Reference, IDOR. В системе есть административный пользователь, у которого среди обычных счетов есть один особый — содержащий CTF-флаг. Ваша задача — найти узкое место в проверке доступа и через IDOR прочитать счёт админа. ## Цели 1. Авторизуйтесь как `demo` / `demo` и изучите свой раздел счетов. 2. Проанализируйте структуру URL-адресов и подумайте, что определяет, какие именно счета вам показывают. 3. Используйте найденный изъян, чтобы получить доступ к счетам, которые вам не принадлежат. 4. Найдите среди этих счетов CTF-флаг. ## Данные | Параметр | Значение | |----------|----------| | Обычный пользователь | `demo` / `demo` |

Похожие лабораторные

Ещё лабораторные по этому типу уязвимости

IDOR

IDOR: предсказание UUID v1 по таймстампу

Заказы интернет-магазина идентифицируются UUID v1 (timestamp + MAC + clock_seq). Все заказы созданы внутри одного процесса, поэтому делят те же node/clock_seq биты — отличаются только по timestamp. Эндпоинт /order/:uuid не проверяет владельца, и атакующий, имея один свой UUID, угадывает UUID соседних заказов и получает чужие данные, включая CTF-флаг.

+90 XP ~75 минут
nodejshardPro
Exploit Fix
IDOR

IDOR: Доступ к чужому счету

Эндпоинт просмотра счета не проверяет владельца. Получи флаг из счета другого пользователя.

+30 XP ~20 минут
golangeasyPro
Exploit Fix
🚧 Сайт в разработке. Полный функционал пока недоступен. Все вопросы — support@hackandfix.ru