<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
	<channel>
		<title>Access-Control on Crusader Research</title>
		<link>https://crusaderproxy.com/research/zh/tags/access-control/</link>
		<description>Recent content in Access-Control on Crusader Research</description>
		<generator>Hugo</generator>
		<language>zh-Hans</language>
		
		
		
		
			<lastBuildDate>Sat, 04 Jul 2026 00:00:00 +0000</lastBuildDate>
		
			<atom:link href="https://crusaderproxy.com/research/zh/tags/access-control/index.xml" rel="self" type="application/rss+xml" />
			<item>
				<title>IDOR 藏在第二个标识符里:用双账号 Shadow Replay 发现 BOLA</title>
				<link>https://crusaderproxy.com/research/zh/posts/finding-idor-bola-with-shadow-replay/</link>
				<pubDate>Sat, 04 Jul 2026 00:00:00 +0000</pubDate>
				<guid>https://crusaderproxy.com/research/zh/posts/finding-idor-bola-with-shadow-replay/</guid>
				<description>&lt;p&gt;每篇 IDOR 教程都给你同一套操作:找到 &lt;code&gt;/api/orders/48210&lt;/code&gt;,把它改成 &lt;code&gt;48211&lt;/code&gt;,看有没有 &lt;code&gt;200&lt;/code&gt;。这套操作训练你去攻击那个应用最可能会检查的标识符。URL 路径里的主键,正是框架的 &lt;code&gt;@authorize&lt;/code&gt; 注解所在之处、ORM 收窄查询之处、评审聚焦之处。它是诱饵。你 fuzz 它,拿到一堆 &lt;code&gt;403&lt;/code&gt;,判定这个接口安全,然后径直从漏洞旁边走过。&lt;/p&gt;&#xA;&lt;p&gt;因为漏洞几乎从不在你看得见的那个 ID 里。它在&lt;em&gt;第二个&lt;/em&gt;标识符里——那个应用压根忘了它也是个标识符的东西。&lt;/p&gt;&#xA;&lt;blockquote&gt;&#xA;&lt;p&gt;&lt;strong&gt;路径里的 ID 是他们会检查的那个。漏洞藏在 request 携带的第二个标识符里——body 里的 account_id、header 里的 tenant、GraphQL 别名里的 id——那个没人为它写过授权规则的东西。&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;/blockquote&gt;&#xA;&lt;h2 id=&#34;换的是次要标识符不是路径&#34;&gt;换的是次要标识符,不是路径&lt;/h2&gt;&#xA;&lt;p&gt;下面是有回报的那种形态。一个 request 会同时以两种方式框定一个对象:路径里的一个资源 ID,以及别处的一个&lt;em&gt;所有权&lt;/em&gt; ID——一个 JSON 字段、一个 header、一个隐藏的表单值。路径里的 ID 会被校验。所有权 ID 会被&lt;em&gt;信任&lt;/em&gt;。&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;POST /api/v2/reports/generate HTTP/2&#xA;authorization: Bearer &amp;lt;attacker token&amp;gt;&#xA;content-type: application/json&#xA;&#xA;{ &amp;#34;report_id&amp;#34;: &amp;#34;attacker-owned-uuid&amp;#34;,&#xA;  &amp;#34;account_id&amp;#34;: 5561,          ← victim&amp;#39;s account, not yours&#xA;  &amp;#34;format&amp;#34;: &amp;#34;pdf&amp;#34; }&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;&lt;code&gt;report_id&lt;/code&gt; 属于你,所以每一层资源级检查都干净利落地通过。但 &lt;code&gt;account_id&lt;/code&gt; 决定的是报表包含&lt;em&gt;谁的数据&lt;/em&gt;,而处理程序直接从 body 里读取它,根本没问你的会话是否有权访问账号 &lt;code&gt;5561&lt;/code&gt;。路径原封不动。&lt;strong&gt;只&lt;/strong&gt;改 &lt;code&gt;account_id&lt;/code&gt;——或 &lt;code&gt;org_id&lt;/code&gt;、&lt;code&gt;tenant_id&lt;/code&gt;,或那个带外承载同一含义的 &lt;code&gt;X-Account-Id&lt;/code&gt; header。这就是大多数 hunter 从不做的那一步,因为教程训练出了错误的条件反射。&lt;/p&gt;</description>
			</item>
	</channel>
</rss>
