关键漏洞信息 漏洞名称 IDOR Vulnerability: Unauthorized API Token Deletion and Exposure 漏洞类型 Insecure Direct Object Reference (IDOR) 影响版本 3.9.0 修复版本 3.13.0 漏洞严重性 中等 影响端点 DELETE /api/users/{userId}/api-tokens/{tokenId} Host: botflow-admin.getirapi.com 漏洞细节 终端未能验证已认证用户是否有权限删除指定的API令牌。 任何已认证用户可以删除其他用户的API令牌并从响应中获取明文令牌值。 OWASP分类 A01:2021 – Broken Access Control 再现步骤 1. 作为用户A(攻击者)进行身份验证。 2. 获取目标信息:目标用户B的用户ID和API令牌ID。 3. 使用用户A的会话发送DELETE请求。 证明概念 请求示例 响应示例 预期行为 终端应验证已认证用户拥有令牌后才能删除。 如果用户尝试删除其他用户的令牌,应返回403Forbidden。 不应在响应中暴露明文令牌值。