Mass Assignment on Register

Kerentanan mass assignment terjadi ketika API mengambil data yang disediakan klien dan menyimpannya tanpa penyaringan yang tepat untuk properti yang masuk whitelist. Dengan adanya kerentanan ini, penyerang dapat mencoba menebak properti objek atau memberikan properti objek tambahan dalam permintaan mereka, membaca dokumentasi, atau memeriksa titik akhir API untuk petunjuk di mana menemukan celah untuk mengubah properti yang tidak seharusnya mereka ubah pada objek data yang disimpan di backend. Seperti yang diketahui, dari kerentanan sebelumnya yaitu kerentanan “Broken Object Property Level Authorization on Register” dimana terdapat parameter is_admin dengan nilai false .

Coba untuk melakukan perubahan nilai pada parameter is_admin tersebut menjadi true dengan cara mengirim request pada endpoint register tersebut dengan menambahkan parameter is_admin dan berikan nilai true . Dapat dilihat pada respons, nilai pada data is_admin telah berubah menjadi true . Artinya pada fitur register memiliki kerentanan mass assignment karena berhasil mengubah nilai pada parameter is_admin menjadi true .

Coba untuk melakukan login, terlihat akun tersebut sudah menjadi akun admin.

Thanks, Stay Ethical & Happy Hacking! 🍻