エラーメッセージ以外: アクセス制御の違反によるスーパー管理者の削除 (€€€) from infosecwriteups.com

security summary

2023.10.30

Beyond Error Messages: Super Admin Deletion due to Broken Access Control (€€€) - infosecwriteups.com

Bug Bounty によって 4.5/5 (無過失) と評価されている「Blind Access Control」プログラムには、2 つのアカウント A と B があります。
最初のアカウントには、アカウントを削除する権限があります。
ただし、他のアカウントは他のユーザーを通常のメンバーとして招待することはできません。
これにより、プログラムが再度アクティブ化されることがよくあります。
nnNnヒント: これまでのところ、プログラムにはバグはありません。