API接口漏洞案例—接口未授权

最新推荐文章于 2024-05-05 16:06:05 发布
最新推荐文章于 2024-05-05 16:06:05 发布
阅读量2.4k 收藏 4
点赞数
文章标签: 网络安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77360081/article/details/131113909
版权

概述

本案例是最近在某车企的SRC众测中发现的一个比较常见的API接口未授权漏洞,该接口泄露了大量的客户敏感信息,利用这些敏感信息还可进行更深度的漏洞挖掘。其漏洞危害比较大,故将其作为一个漏洞案例分享出来给大家。

 

API接口未授权访问

目标网站是一个注册登录窗口,注册登录进去后没有发现有价值的漏洞,但是抓包发现几乎所有的功能交互都是调用的API,于是乎想到从API上面着手进行漏洞挖掘。

在前端JS代码中进行url提取后发现一个API接口,直接进行访问提示不支持GET方式访问,一般这里很可能存在未授权漏洞:

76bc80c9a06a485f9b36f36df26e9bfd.png

使用POST方式进行发送,发现API接口泄露了大量用户的货物名称、发出地址、发件人、发件人手机号、寄送地址、收件人、收件人手机号、经纬度等敏感信息。

4442ef55f2cd42f998e52df98580f512.png 

任意用户密码重置

在忘记密码处,发送手机验证码

54a7b9adfe8f48d1a7972c2af869bc35.png 

验证码随便填提交抓包

02cdf279319140df831cbc4261512e74.png 

此时如果直接放包其响应包会提示验证码错误

4727b09dd3454535a07002e689ecacde.png 

拦截响应包将其resultCode参数改为200成功状态数据包再进行发送

fb2464c72ddf47ec82cd9942e71dedfc.png 

 进入第三步设置新密码

a6cd313a01b742cf929c3db52148d240.png

修改密码成功

a638f106fb78428ca4be5a28a21ed402.png 

以上漏洞均已上报

回顾与反思 

 

▪  对每个API业务功能端点都要加强权限校验和逻辑判断

▪  在服务端实施数据过滤,而不依赖客户端过滤

▪  定期审查API响应,确保没有过度的数据暴露

 

喜数API SEC安全软件
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Awvs API接口文档
11-20
整理网络资源,根据网络上的相关文档结合自己的实际操作整理的AWVS11的API接口文档,官方的API接口文档是商务付费的,所以只能自己整理。我所使用的接口测试工具为curl,curl的具体安装和相关参数请度娘。核心参考...
增值税发票查验API接口说明
03-01
增值税发票查验API接口说明
API接口漏洞利用及防御
MachineGunJoe666
09-13 277
经身份验证和授权访问API接口没有进行适当的身份验证和授权验证,导致攻击者可以直接访问敏感数据或执行授权的操作。这种漏洞可能是由于弱密码、缺少访问令牌或缺乏强制访问控制机制导致的。不正确的访问控制:API接口正确实施访问控制机制,允许攻击者越权访问受限资源。这可能包括缺少角色验证、错误配置的权限策略或漏洞访问控制列表(ACL)配置。敏感信息泄露:API接口在响应中返回了敏感信息,如数据库连接字符串、用户凭据、私钥等。攻击者可以利用这些信息进行进一步的攻击,例如数据库注入、身份盗窃等。
2024年关于授权访问的挖掘思路&实战_授权漏洞的挖掘思路(1),三面美团、四面阿里成功斩下offer
最新发布
HUAXIAL的博客
05-05 643
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Docker API 授权访问漏洞
qq_42383069的博客
05-09 7672
Docker API 授权访问漏洞 1、漏洞简介 在Docker的部署文档中,由于默认存在某些不安全的配置样例,导致2375管理端口对外,该授权访问漏洞是因为Docker API可以执行Docker命令,该接口是目的是取代Docker命令界面,通过URL操作Docker。 2、漏洞原理 利用 Docker 节点上开放的 TCP 端口 2375 远程执行 Docker 命令,进而可获取服务器 Root 权限。 3、漏洞环境搭建 这里我们直接使用 vluhub 环境 cd vulhub/docker/una
一文解决:Swagger API 授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权访问可能会导致安全漏洞。本文将介绍如何解决问题。
关于授权访问的挖掘思路&实战
cike_y
05-01 3336
授权访问的挖掘不是针对所有网站,这只是一种思路,通过信息收集来实现登录绕过,从而达到授权。正常来说可以通过抓包修改返回值也可以达到绕过,前提是不知道网站代码的判断情况下,可以尝试猜解返回值。如果网站后端认证做好了,是不会有该漏洞的。
常见的API接口漏洞总结
summer_fish的专栏
05-01 3334
熟悉这些漏洞非常重要,这样您就可以轻松识别它们,在参与渗透测试期间利用它们,并将其报告给组织,以防止犯罪分子将您的客户拖入头条新闻。现在您已经熟悉了 Web 应用程序、API 及其弱点。
黑马头条前台API 接口文档
10-30
黑马头条前台-API 接口文档:用户登录,注册,编辑关注取消,评论;新闻文章:搜索,推荐,详情,列表获取,发布,收藏,点赞,编辑,文件上传;首页栏目获取和添加
GM包站API接口.zip
06-27
GM包站API接口.zip
PHP实现的同步推荐操作API接口案例分析
10-21
主要介绍了PHP实现的同步推荐操作API接口案例,结合具体实例形式分析了同步推荐操作具体的功能、接口、方法、参数及相关使用技巧,需要的朋友可以参考下
Web API 漏洞介绍(一)
weixin_44217321的博客
02-04 1209
API漏洞是指API安全性中可能被恶意行为者利用的潜在弱点或漏洞。这些漏洞可能存在于API的任何部分,从设计阶段到部署阶段。它们可能会导致严重的后果,例如数据泄露、授权访问,甚至系统崩溃。
详细解决:Swagger API 授权访问漏洞问题
weixin_71807218的博客
03-16 4786
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
API成批分配漏洞介绍与解决方案
sinat_31583645的博客
12-01 4600
批量分配:在API的业务对象或数据结构中,通常存在多个属性,攻击者通过篡改属性值的方式,达到攻击目的。比如通过设置user.is_admin和user.is_manager的值提升用户权限等级;假设某API的默认接口调用参数为{"user_name":"user","is_admin":0},而恶意攻击者修改请求参数,提交值为{"user_name":"attacker","is_admin":1},通过修改参数is_admin的值来提升为管理员权限。
实战SRC | api接口授权 + 越权漏洞
2301_80127209的博客
01-04 632
userToken=,拼接上在该学校查询到的学号,发现并不能获取到信息。于是仔细的观察,发现有个api路径为 :"url":"/api/xxx"一次在fofa上通过学习的fofa语句进行查询,无意中查询到了一个网址。所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.果然,成功获取到账号密码,通过遍历学号,找到管理员的账号,密码信息。这次通过修改userToken的值,可以直接进行越权!进来继续寻找是否有其他漏洞,果然,又让我找到了!本文由掌控安全学院 - zxl2605 投稿。
授权访问漏洞汇总
weixin_46137328的博客
09-23 7426
本文共11695个字,可以先收藏后看。漏洞概览: Elasticsearch授权访问漏洞 Hadoop授权访问漏洞 Jenkins授权访问 MongoDB授权访问 Zoo...
二十几种授权访问漏洞合集
2301_76786857的博客
01-13 1298
授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。攻击者发现并且利用此类漏洞的成本低,效果明显,影响巨大,因此此类漏洞必须高度重视起来。目前主要存在授权访问漏洞的有:NFS服务,Samba服务,LDAP,Rsync,FTP,Jenkins,MongoDB,Redis,ZooKeeper,ElasticSearch,Memcache,CouchDB,Docker,Solr,Hadoop,Dubbo等。
WebAPI接口文档漏洞
08-18
对于WebAPI接口文档,漏洞是指其中可能存在的安全问题或信息泄露的风险。常见的WebAPI接口文档漏洞包括但不限于以下几种: 1. 敏感信息泄露:接口文档中可能包含一些敏感信息,如数据库凭据、访问令牌、加密算法等。如果这些信息被授权的人员获取,可能导致系统安全受到威胁。 2. 跨站脚本攻击(XSS):接口文档中可能存在经过滤的用户输入,如果攻击者能够注入恶意脚本代码,就可以在用户浏览器上执行任意代码,导致信息泄露或页面篡改等问题。 3. 跨站请求伪造(CSRF):接口文档中可能存在进行CSRF防护的接口,攻击者可以利用该漏洞发送伪造的请求,以受害用户的名义执行某些操作,如更改密码、删除账户等。 4. 接口授权与认证问题:接口文档可能明确规定每个接口访问权限和认证方式,导致授权的用户可以访问敏感接口,或者绕过认证机制直接获取资源。 5. 预先定义的安全策略缺失:接口文档明确规定API安全策略,如HTTPS强制使用、请求频率限制、访问令牌有效期等,可能导致恶意用户滥用接口资源。 为了避免这些漏洞,开发者在编写接口文档时应该遵循以下安全原则: 1. 敏感信息保护:避免在接口文档中明文泄露敏感信息,如数据库凭据、密钥等,可以使用占位符或模拟数据代替。 2. 输入验证与过滤:对于用户输入的数据,要进行合法性验证和安全过滤,防止XSS攻击和其他注入漏洞。 3. CSRF防护:对于需要保护的接口,要使用CSRF令牌或其他防护机制,确保请求的合法性。 4. 接口权限与认证:明确规定每个接口访问权限和认证方式,确保只有经过授权的用户才能访问敏感接口。 5. 安全策略设置:在接口文档中明确规定API安全策略,如使用HTTPS、请求频率限制、访问令牌有效期等。 通过遵循这些安全原则,可以有效减少WebAPI接口文档的漏洞风险,提升系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

喜数API SEC安全软件

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值