**一、**API成批分配漏洞介绍
批量分配:在API的业务对象或数据结构中,通常存在多个属性,攻击者通过篡改属性值的方式,达到攻击目的。比如通过设置user.is_admin和user.is_manager的值提升用户权限等级;假设某API的默认接口调用参数为{“user_name”:“user”,“is_admin”:0},而恶意攻击者修改请求参数,提交值为{“user_name”:“attacker”,“is_admin”:1},通过修改参数is_admin的值来提升为管理员权限。
应用程序中潜藏的安全漏洞是一种非常大的隐患,攻击者会通过某一个安全漏洞窃取站点内的用户隐私等重要信息。在扫描应用程序时,我们需要对多项内容进行配置。那么,AppScan扫描应用程序需要URL吗?是需要的。在新版的AppScan还可以扫除API成批分配的问题,我们需要AppScan扫出API成批分配问题解决方案来解决。
APPScan 10.0.7新增的扫描功能 HCL AppScan® Enterprise 中的新增功能 (hcltechsw.com)"),增加了批量分配API的规则。
AppScan扫描应用程序需要URL吗
AppScan扫描应用程序是否需要URL,那么我们就要看AppScan是如何扫描应用程序的。
1.启动扫描位置
图1:主界面
这里我们使用的是AppScan 10.0.8版本,启动软件后,单击主界面中【web应用程序】便可启动扫描进程。
2.配置扫描
图2:配置界面
在配置界面中第一项便是要求填写【URL和服务器】,在图2中【从该URL开始扫描】位置输入目标URL即可。
3.完全扫描模式下输入URL
图3:完全扫描
当我们启动【完全扫描】模式时,在【探索】位置我们可以对【URL和服务器】进行配置,配置方式和【扫描web应用程序】的配置方式一致。
4.web API
AppScan主界面中除了【web应用程序】和【完全配置】外,还有【web API】,web API的配置是不需要的填写URL的。
图4:扫描web API
web API虽然无需填写URL,但需要填写客户机和描述文件。
漏洞条件:
1、接口类型为application/json ,参数传值、form表单等类型暂未受影响。
2、请求json参数不是接收参数的javabean及其父类中的任意属性。
3、接口HTTP状态码为200
请求json参数不是接收参数的javabean及其父类
最低0.47元/天 解锁文章
1198
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
