Parameter tampering ini bisa dikatakan merupakan suatu metode manipulasi parameter yang akan dikirim ke server untuk mengubah data yang akan dikirim.
Kerentanan keamanan siber ini memerlukan penyesuaian atau modifikasi parameter yang terkait dengan klien dan server. Parameter paling kritis yang umumnya diakses, melalui berbagai teknik, dan dimodifikasi lebih lanjut sehingga diperoleh data/kredensial/informasi tertentu.
Di sini, parameter yang ditargetkan bisa berupa apa saja. Ini bisa berupa data penjualan atau kredensial pengguna. Hanya parameter aplikasi web, yang disimpan dalam String Kueri URL, cookie, header HTTP, dan bidang tersembunyi dalam formulir HTML, yang digunakan untuk serangan ini. Mari kita pelajari semua ini secara mendetail.
Perusakan parameter memungkinkan pengguna memanipulasi parameter vuln_id selama pengiriman laporan
Temuan kali ini memungkinan saya untuk memodifikasi ID laporan saat saya membuat suatu laporan pada website OSRC https://security.oppo.com/, ini berdampak pada Tahun laporan atau unikID dan bahkan ini akan berdampak pada laporan seseorang ketika saya mengklaim ID laporan seseorang
https://drive.google.com/file/d/1NgozOhQPN_yUeQDlkyFQkcPdBpTU_nhK/view
Laporan tersebut menunjukkan bahwa vuln_id kerentanan dapat dimodifikasi. Modifikasi parameter ini seharusnya berdampak kecil pada keseluruhan logika bisnis. Kerentanannya mungkin tidak mencapai tingkat yang tinggi, kecuali Anda dapat membuat daftar bahaya lainnya?
Ok, jadi laporan saya dianggap punya dampak kecil, tapi saya diberi kesempatan untuk mengexplore lebih jauh lagi pada kerentanan ini.
Pengguna dapat menambahkan Hadiah Uang Setelah admin mengkonfirmasi Status Laporan
Temuan kali ini memungkinan saya untuk menambahkan Hadiah Uang sesuai keinginan dengan jumlah berapapun pada setiap laporan yang saya submit, namun ini membutuhkan interaksi. Setelah admin mengkonfirmasi laporan tersebut, maka reward berupa uang yang sebelumnya ditambahkan oleh saya akan otomatis terupdate sesuai yang ditentukan.
https://drive.google.com/file/d/15NqTXUYiL6AnSUvxodqe3d_M2hpWhEur/view
Pengguna diperbolehkan untuk menggandakan file Lampiran setelah mengirimkan Laporan Kerentanan, yang berpotensi menyebabkan kerentanan Referensi Objek Langsung Tidak Aman (IDOR)
Temuan kali ini memungkinan saya untuk menduplikasi dan menambahkan sebuah lampiran file pada laporan seseorang setelah laporan tersebut disubmit
Dublikasi file
https://drive.google.com/file/d/1ybJlc3zhS5lVgO4tW3fD4CNfZ30f4Q2n/view
Menambhakan file
https://drive.google.com/file/d/1d6uV5IrpreJt0weoLbOMrye95pJGJHqo/view