# Privilege escalation leading to a PII Data leak Tips

Berikut ini adalah beberapa tips untuk mencari kerentanan **privilege escalation**, terutama yang mengarah ke **PII data leak**. Seperti yang kalian tahu, metode untuk meminta data dari API biasanya menggunakan metode **GET**, namun tidak selalu metode **GET** yang digunakan, terkadang juga menggunakan metode **POST**. Dalam tips ini, kita akan fokus pada metode **GET** terlebih dahulu.

Langkah-Langkah

1. Gunakan akun attacker dengan role yang rendah.
    
2. Klik semua fitur atau halaman yang ada pada website target.
    
3. Perhatikan log di **HTTP history**.
    
4. Gunakan filter pada **HTTP history** dengan simbol `@` untuk menyaring request yang memiliki symbol @
    
5. Lihatlah request-request tersebut. Jika dalam request tersebut kalian menemukan data seperti **email user lain**, maka website tersebut rentan terhadap **privilege escalation**.
    

**Catatan:** Kerentanan ini hanya berlaku jika role rendah yang digunakan **seharusnya tidak memiliki izin untuk melihat data seperti email user lain**.
