API接口漏洞案例—接口未授权

概述

本案例是最近在某车企的SRC众测中发现的一个比较常见的API接口未授权漏洞,该接口泄露了大量的客户敏感信息,利用这些敏感信息还可进行更深度的漏洞挖掘。其漏洞危害比较大,故将其作为一个漏洞案例分享出来给大家。

 

API接口未授权访问

目标网站是一个注册登录窗口,注册登录进去后没有发现有价值的漏洞,但是抓包发现几乎所有的功能交互都是调用的API,于是乎想到从API上面着手进行漏洞挖掘。

在前端JS代码中进行url提取后发现一个API接口,直接进行访问提示不支持GET方式访问,一般这里很可能存在未授权漏洞:

76bc80c9a06a485f9b36f36df26e9bfd.png

使用POST方式进行发送,发现API接口泄露了大量用户的货物名称、发出地址、发件人、发件人手机号、寄送地址、收件人、收件人手机号、经纬度等敏感信息。

4442ef55f2cd42f998e52df98580f512.png 

任意用户密码重置

在忘记密码处,发送手机验证码

54a7b9adfe8f48d1a7972c2af869bc35.png 

验证码随便填提交抓包

02cdf279319140df831cbc4261512e74.png 

此时如果直接放包其响应包会提示验证码错误

4727b09dd3454535a07002e689ecacde.png 

拦截响应包将其resultCode参数改为200成功状态数据包再进行发送

fb2464c72ddf47ec82cd9942e71dedfc.png 

 进入第三步设置新密码

a6cd313a01b742cf929c3db52148d240.png

修改密码成功

a638f106fb78428ca4be5a28a21ed402.png 

以上漏洞均已上报

回顾与反思 

 

▪  对每个API业务功能端点都要加强权限校验和逻辑判断

▪  在服务端实施数据过滤,而不依赖客户端过滤

▪  定期审查API响应,确保没有过度的数据暴露

 

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
对于WebAPI接口文档,漏洞是指其中可能存在的安全问题或信息泄露的风险。常见的WebAPI接口文档漏洞包括但不限于以下几种: 1. 敏感信息泄露:接口文档中可能包含一些敏感信息,如数据库凭据、访问令牌、加密算法等。如果这些信息被授权的人员获取,可能导致系统安全受到威胁。 2. 跨站脚本攻击(XSS):接口文档中可能存在经过滤的用户输入,如果攻击者能够注入恶意脚本代码,就可以在用户浏览器上执行任意代码,导致信息泄露或页面篡改等问题。 3. 跨站请求伪造(CSRF):接口文档中可能存在进行CSRF防护的接口,攻击者可以利用该漏洞发送伪造的请求,以受害用户的名义执行某些操作,如更改密码、删除账户等。 4. 接口授权与认证问题:接口文档可能明确规定每个接口访问权限和认证方式,导致授权的用户可以访问敏感接口,或者绕过认证机制直接获取资源。 5. 预先定义的安全策略缺失:接口文档明确规定API安全策略,如HTTPS强制使用、请求频率限制、访问令牌有效期等,可能导致恶意用户滥用接口资源。 为了避免这些漏洞,开发者在编写接口文档时应该遵循以下安全原则: 1. 敏感信息保护:避免在接口文档中明文泄露敏感信息,如数据库凭据、密钥等,可以使用占位符或模拟数据代替。 2. 输入验证与过滤:对于用户输入的数据,要进行合法性验证和安全过滤,防止XSS攻击和其他注入漏洞。 3. CSRF防护:对于需要保护的接口,要使用CSRF令牌或其他防护机制,确保请求的合法性。 4. 接口权限与认证:明确规定每个接口访问权限和认证方式,确保只有经过授权的用户才能访问敏感接口。 5. 安全策略设置:在接口文档中明确规定API安全策略,如使用HTTPS、请求频率限制、访问令牌有效期等。 通过遵循这些安全原则,可以有效减少WebAPI接口文档的漏洞风险,提升系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

喜数API SEC安全软件

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值