API接口漏洞案例—接口未授权

最新推荐文章于 2024-05-05 16:06:05 发布
最新推荐文章于 2024-05-05 16:06:05 发布
阅读量2.5k 收藏 4
点赞数
文章标签: 网络安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77360081/article/details/131113909
版权

概述

本案例是最近在某车企的SRC众测中发现的一个比较常见的API接口未授权漏洞,该接口泄露了大量的客户敏感信息,利用这些敏感信息还可进行更深度的漏洞挖掘。其漏洞危害比较大,故将其作为一个漏洞案例分享出来给大家。

 

API接口未授权访问

目标网站是一个注册登录窗口,注册登录进去后没有发现有价值的漏洞,但是抓包发现几乎所有的功能交互都是调用的API,于是乎想到从API上面着手进行漏洞挖掘。

在前端JS代码中进行url提取后发现一个API接口,直接进行访问提示不支持GET方式访问,一般这里很可能存在未授权漏洞:

76bc80c9a06a485f9b36f36df26e9bfd.png

使用POST方式进行发送,发现API接口泄露了大量用户的货物名称、发出地址、发件人、发件人手机号、寄送地址、收件人、收件人手机号、经纬度等敏感信息。

4442ef55f2cd42f998e52df98580f512.png 

任意用户密码重置

在忘记密码处,发送手机验证码

54a7b9adfe8f48d1a7972c2af869bc35.png 

验证码随便填提交抓包

02cdf279319140df831cbc4261512e74.png 

此时如果直接放包其响应包会提示验证码错误

4727b09dd3454535a07002e689ecacde.png 

拦截响应包将其resultCode参数改为200成功状态数据包再进行发送

fb2464c72ddf47ec82cd9942e71dedfc.png 

 进入第三步设置新密码

a6cd313a01b742cf929c3db52148d240.png

修改密码成功

a638f106fb78428ca4be5a28a21ed402.png 

以上漏洞均已上报

回顾与反思 

 

▪  对每个API业务功能端点都要加强权限校验和逻辑判断

▪  在服务端实施数据过滤,而不依赖客户端过滤

▪  定期审查API响应,确保没有过度的数据暴露

 

喜数API SEC安全软件
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
API接口漏洞利用及防御
MachineGunJoe666
09-13 330
经身份验证和授权访问API接口没有进行适当的身份验证和授权验证,导致攻击者可以直接访问敏感数据或执行授权的操作。这种漏洞可能是由于弱密码、缺少访问令牌或缺乏强制访问控制机制导致的。不正确的访问控制:API接口正确实施访问控制机制,允许攻击者越权访问受限资源。这可能包括缺少角色验证、错误配置的权限策略或漏洞访问控制列表(ACL)配置。敏感信息泄露:API接口在响应中返回了敏感信息,如数据库连接字符串、用户凭据、私钥等。攻击者可以利用这些信息进行进一步的攻击,例如数据库注入、身份盗窃等。
Web API 漏洞介绍(一)
weixin_44217321的博客
02-04 1290
API漏洞是指API安全性中可能被恶意行为者利用的潜在弱点或漏洞。这些漏洞可能存在于API的任何部分,从设计阶段到部署阶段。它们可能会导致严重的后果,例如数据泄露、授权访问,甚至系统崩溃。
2024年关于授权访问的挖掘思路&实战_授权漏洞的挖掘思路(1),三面美团、四面阿里成功斩下offer
HUAXIAL的博客
05-05 651
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Docker API 授权访问漏洞
qq_42383069的博客
05-09 7696
Docker API 授权访问漏洞 1、漏洞简介 在Docker的部署文档中,由于默认存在某些不安全的配置样例,导致2375管理端口对外,该授权访问漏洞是因为Docker API可以执行Docker命令,该接口是目的是取代Docker命令界面,通过URL操作Docker。 2、漏洞原理 利用 Docker 节点上开放的 TCP 端口 2375 远程执行 Docker 命令,进而可获取服务器 Root 权限。 3、漏洞环境搭建 这里我们直接使用 vluhub 环境 cd vulhub/docker/una
一文解决:Swagger API 授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权访问可能会导致安全漏洞。本文将介绍如何解决问题。
常见的API接口漏洞总结
summer_fish的专栏
05-01 3404
熟悉这些漏洞非常重要,这样您就可以轻松识别它们,在参与渗透测试期间利用它们,并将其报告给组织,以防止犯罪分子将您的客户拖入头条新闻。现在您已经熟悉了 Web 应用程序、API 及其弱点。
API成批分配漏洞介绍与解决方案
sinat_31583645的博客
12-01 4741
批量分配:在API的业务对象或数据结构中,通常存在多个属性,攻击者通过篡改属性值的方式,达到攻击目的。比如通过设置user.is_admin和user.is_manager的值提升用户权限等级;假设某API的默认接口调用参数为{"user_name":"user","is_admin":0},而恶意攻击者修改请求参数,提交值为{"user_name":"attacker","is_admin":1},通过修改参数is_admin的值来提升为管理员权限。
Awvs API接口文档
11-20
整理网络资源,根据网络上的相关文档结合自己的实际操作整理的AWVS11的API接口文档,官方的API接口文档是商务付费的,所以只能自己整理。我所使用的接口测试工具为curl,curl的具体安装和相关参数请度娘。核心参考...
API接口设计规范.docx
02-13
7. 安全性规范:规定 API 接口安全性,包括身份验证、授权、数据加密等。 API 接口设计规范的遵守可以确保 API 接口的质量、可维护性和可扩展性,提高开发效率和降低维护成本。 在本规范中,我们将详细介绍 API ...
增值税发票查验API接口说明
03-01
增值税发票查验API接口说明
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API
黑马头条前台API 接口文档
10-30
黑马头条前台-API 接口文档:用户登录,注册,编辑关注取消,评论;新闻文章:搜索,推荐,详情,列表获取,发布,收藏,点赞,编辑,文件上传;首页栏目获取和添加
金蝶K3 wise API接口应用
最新发布
06-21
金蝶K3 wise API接口应用技术文档
授权访问漏洞汇总
weixin_46137328的博客
09-23 7444
本文共11695个字,可以先收藏后看。漏洞概览: Elasticsearch授权访问漏洞 Hadoop授权访问漏洞 Jenkins授权访问 MongoDB授权访问 Zoo...
最佳实践:解决 Swagger API 中的授权访问漏洞
每天多一点干货
10-27 499
投的前端开发,base杭州,10.27上午人工第一面,被疯狂抠细节拷打,答的不太好晚上看了一下状态,从AI面试变成了二轮面试进行中所以,这是人工第一面过了,还是。12人一组,一清一北?坏消息,是顺丰的低价,设计岗在深圳那么点钱估计活不下去,xdm我要接吗还是等其他的,本人广东人, 目前满帮三面、615hr面,其他大大小小银行和联通等还在流程中。市场上有很多大厂,虽然打着同一杆大旗,但里面的业务五花八门,人员的福利体系也千差万别,拿到同一个大厂的offer,签约公司却很可能不一样,比如,腾讯、华为、阿里。
Swagger API 信息泄露漏洞解决方案
J_com的博客
02-24 1万+
Swagger API 信息泄露漏洞解决方案
授权访问漏洞总结
LuckySec
03-24 4743
前言:这篇文章主要收集一些常见的授权访问漏洞授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 0x01 授权漏洞预览 Active MQ 授权访问 Atlassian Crowd 授权访问 CouchDB 授权访问 Docker 授权访问 Dubbo 授权访问 Druid 授权访问 Elasticsearch 授权访问 FTP 授权访问 Hadoop 授权访问 JBoss 授权访
WebAPI接口文档漏洞
08-18
对于WebAPI接口文档,漏洞是指其中可能存在的安全问题或信息泄露的风险。常见的WebAPI接口文档漏洞包括但不限于以下几种: 1. 敏感信息泄露:接口文档中可能包含一些敏感信息,如数据库凭据、访问令牌、加密算法等。如果这些信息被授权的人员获取,可能导致系统安全受到威胁。 2. 跨站脚本攻击(XSS):接口文档中可能存在经过滤的用户输入,如果攻击者能够注入恶意脚本代码,就可以在用户浏览器上执行任意代码,导致信息泄露或页面篡改等问题。 3. 跨站请求伪造(CSRF):接口文档中可能存在进行CSRF防护的接口,攻击者可以利用该漏洞发送伪造的请求,以受害用户的名义执行某些操作,如更改密码、删除账户等。 4. 接口授权与认证问题:接口文档可能明确规定每个接口访问权限和认证方式,导致授权的用户可以访问敏感接口,或者绕过认证机制直接获取资源。 5. 预先定义的安全策略缺失:接口文档明确规定API安全策略,如HTTPS强制使用、请求频率限制、访问令牌有效期等,可能导致恶意用户滥用接口资源。 为了避免这些漏洞,开发者在编写接口文档时应该遵循以下安全原则: 1. 敏感信息保护:避免在接口文档中明文泄露敏感信息,如数据库凭据、密钥等,可以使用占位符或模拟数据代替。 2. 输入验证与过滤:对于用户输入的数据,要进行合法性验证和安全过滤,防止XSS攻击和其他注入漏洞。 3. CSRF防护:对于需要保护的接口,要使用CSRF令牌或其他防护机制,确保请求的合法性。 4. 接口权限与认证:明确规定每个接口访问权限和认证方式,确保只有经过授权的用户才能访问敏感接口。 5. 安全策略设置:在接口文档中明确规定API安全策略,如使用HTTPS、请求频率限制、访问令牌有效期等。 通过遵循这些安全原则,可以有效减少WebAPI接口文档的漏洞风险,提升系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

喜数API SEC安全软件

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值