Privilege escalation leading to a PII Data leak Tips

zeeagilzeeagil
1 min read

Berikut ini adalah beberapa tips untuk mencari kerentanan privilege escalation, terutama yang mengarah ke PII data leak. Seperti yang kalian tahu, metode untuk meminta data dari API biasanya menggunakan metode GET, namun tidak selalu metode GET yang digunakan, terkadang juga menggunakan metode POST. Dalam tips ini, kita akan fokus pada metode GET terlebih dahulu.

Langkah-Langkah

  1. Gunakan akun attacker dengan role yang rendah.

  2. Klik semua fitur atau halaman yang ada pada website target.

  3. Perhatikan log di HTTP history.

  4. Gunakan filter pada HTTP history dengan simbol @ untuk menyaring request yang memiliki symbol @

  5. Lihatlah request-request tersebut. Jika dalam request tersebut kalian menemukan data seperti email user lain, maka website tersebut rentan terhadap privilege escalation.

Catatan: Kerentanan ini hanya berlaku jika role rendah yang digunakan seharusnya tidak memiliki izin untuk melihat data seperti email user lain.

0
Subscribe to my newsletter

Read articles from zeeagil directly inside your inbox. Subscribe to the newsletter, and don't miss out.

#bountytipswebsite

Written by

zeeagil
zeeagil

Hi, I’m a bug bounty hunter and cybersecurity enthusiast who began my journey in 2023. I enjoy exploring and discovering hidden vulnerabilities in browsers, applications, and various platforms—especially those that are rarely examined by others. My focus is on browser and website security issues. I also share my findings and educational content through my YouTube channel, Lazy Cyber Security.