IDOR导致上万医疗保险文件泄露

文章预览

扫码领资料 获网安教程 嗨大家好，今天我就来说说我在一家保险公司发现的IDOR漏洞，这个漏洞泄露了近 10万 客户的医保文件。 前言 有一天，我申请了签证前往沙特阿拉伯，获得签证的要求之一是从保险公司获得医疗保险，我选择了这家公司，让我们称之为 示例 公司。我交了这个公司的费用后，他们给我发了我医保文件的网址，网址是这样的： https: //document.example.com/1682425711431052.pdf 文件名与保险单号码相同，所以如果你知道别人的保险单号码，你就可以得到他的保险文件。但当时我没有注意到这件事。 我是如何发现漏洞的？ 我收到了一封来自该公司的电子邮件，该公司提供有关冠状病毒（Covid-19）感染风险的服务，并提示支付和获得这项服务， “请点击以下链接” 。 当链接打开时，我发现我的护照号码和保险单号码在我面前，我快速地看 ………………………………