未授权访问-api接口

最新推荐文章于 2024-07-17 20:21:22 发布
最新推荐文章于 2024-07-17 20:21:22 发布
阅读量1.2k 收藏 6
点赞数 22
文章标签: 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/san3144393495/article/details/137395655
版权
本文讲述了API接口的命名规则、如何通过观察路径确定接口、未授权访问漏洞的检测策略,包括参数处理和使用工具如熊猫和Burp进行测试。强调了理解api路径命名对发现漏洞的重要性。
摘要由CSDN通过智能技术生成

特别注意api接口的一些命名规则

常见的是这种,具体要看开发人员怎么命名的

而确认api路径的最好办法还是去多出发几个功能点,看他的路径,比如下面触发多个功能点

对比得知两个路径都有pyr/user/这时候可能就会觉得这就是api路径,但是实际情况要去查看他的js文件

特别注意api接口的一些命名规则

常见的是这种,具体要看开发人员怎么命名的

而确认api路径的最好办法还是去多出发几个功能点,看他的路径,比如下面触发多个功能点

对比得知两个路径都有pyr/user/这时候可能就会觉得这就是api路径,但是实际情况要去查看他的js文件

有些系统的登录和密码找回并不在api路径下,所以还要结合实际情况去判断,不是刻板印象

比如直接就是http://www.xx.com/login, http://www.xx.com/passwd 那就不是api路径

http://www.xx.com/api/user/list

这种就很可能是,但具体的最好还是去翻找js文件

为什么要先讲清楚api路径和命名规则呢,因为所有的未授权接口,前提都是在合法的api路径下的,如果url都噶偶凑了,比如放在根目录区分为,就会错失很多漏洞,所以搞清楚api路径的命名规则,是根本

比如,正常路径是http://www.xx.com/api/user/list,而在测试未授权的时候,访问资源http://www.xx.com/user/login,这种对面服务器再找路径都找到

开始进阶

1.哪些网站容易出现未授权访问漏洞

一是一些访问一些url会给你自动跳转,跳转到index或者home这种,通常还有一个/#/号,而就是一个app,这种功能比较多,文件下载上传这方面是鉴权不好做,防止任意文件下载通常都是复杂的文件命名,但如何是时间戳这种就可以猜测出文件名字如何下载

通过一些工具扫描到api接口,和自己查看,整理出来到一个文本里面

有一些文件格式是json看的很头疼,需要还原

2.api接口从哪来,api接口往哪拼接

api拼接位置,从根目录开始遍历get和post请求方法,从api目录开始遍历get和post请求方式

3.参数怎么进来。参数怎么拼

参数fuzz大法

有些在遍历过后报错会提示某某参数不能为空,就可以尝试去提交参数

尽可能的多收集对应的数据,有一些网站是不会有排异反应的,不会因为参数很乱很多就拒绝服务,而是只会提取自己要的,会因为某一个参缺少而拒绝服务,这种去看就多去手机,比如登陆成功之后给的一些参数,访问商家给的一些参数等等

实战案例

先用熊猫提取路由

比如这个时候都是user什么什么,那现在就是在特征路径。如果user前面还有一个api,那说明api才是特征路径

然后就把收集的数据用burp去get,post都跑一遍

post提交注意项

根据之前跑出来的未授权的数据作为参数再去跑一便,不知道post传参是什么的就去访问一下抓包,看看有哪些传参的地方,

有些系统的登录和密码找回并不在api路径下,所以还要结合实际情况去判断,不是刻板印象

比如直接就是http://www.xx.com/login, http://www.xx.com/passwd 那就不是api路径

http://www.xx.com/api/user/list

这种就很可能是,但具体的最好还是去翻找js文件

为什么要先讲清楚api路径和命名规则呢,因为所有的未授权接口,前提都是在合法的api路径下的,如果url都噶偶凑了,比如放在根目录区分为,就会错失很多漏洞,所以搞清楚api路径的命名规则,是根本

比如,正常路径是http://www.xx.com/api/user/list,而在测试未授权的时候,访问资源http://www.xx.com/user/login,这种对面服务器再找路径都找到

开始进阶

1.哪些网站容易出现未授权访问漏洞

一是一些访问一些url会给你自动跳转,跳转到index或者home这种,通常还有一个/#/号,而就是一个app,这种功能比较多,文件下载上传这方面是鉴权不好做,防止任意文件下载通常都是复杂的文件命名,但如何是时间戳这种就可以猜测出文件名字如何下载

通过一些工具扫描到api接口,和自己查看,整理出来到一个文本里面

有一些文件格式是json看的很头疼,需要还原

2.api接口从哪来,api接口往哪拼接

api拼接位置,从根目录开始遍历get和post请求方法,从api目录开始遍历get和post请求方式

3.参数怎么进来。参数怎么拼

参数fuzz大法

有些在遍历过后报错会提示某某参数不能为空,就可以尝试去提交参数

尽可能的多收集对应的数据,有一些网站是不会有排异反应的,不会因为参数很乱很多就拒绝服务,而是只会提取自己要的,会因为某一个参缺少而拒绝服务,这种去看就多去手机,比如登陆成功之后给的一些参数,访问商家给的一些参数等等

实战案例

先用熊猫提取路由

比如这个时候都是user什么什么,那现在就是在特征路径。如果user前面还有一个api,那说明api才是特征路径

然后就把收集的数据用burp去get,post都跑一遍

post提交注意项

根据之前跑出来的未授权的数据作为参数再去跑一便,不知道post传参是什么的就去访问一下抓包,看看有哪些传参的地方,

取自:漏洞挖掘实战经验 | 未授权访问漏洞测试细节-下篇_哔哩哔哩_bilibili

上线之叁
关注
应用插件-API接口-v6.0_api接口应用插件_
09-30
"应用插件-API接口-v6.0_api接口应用插件_"这个标题暗示我们讨论的是一个特定版本的API接口应用插件,可能是针对某个开源系统的一个扩展或增强功能。 描述中提到的"开源系统",意味着该插件的源代码对外公开,允许...
针对Swagger接口泄露授权访问的各种姿势
最新发布
2401_83799022的博客
08-05 6356
然后先从Swagger漏洞的相关简介,再到相关使用的插件包括工具等的使用,然后再从实战中的案例进行解析和讲解。关键字,这个你可以点击下,这个标识就是表示这个泄露的 接口需要我们输入加密的信息,要是按照正常的直接访问这个泄露的api接口,然后看敏感信息就不可行了,下面我来带大家使用一个Swagger脚本工具来给师傅们演示下。上面给师傅们分享的都是这几天的收获,然后前面的简介包括对于Swagger接口泄露和授权也是解释方面也是蛮细的,也蛮适合新手宝宝看的文章,也是希望这篇文章对看的师傅们有些帮助哈!
API接口漏洞案例—接口授权
2301_77360081的博客
06-08 3110
本案例是最近在某车企的SRC众测中发现的一个比较常见的API接口授权漏洞,该接口泄露了大量的客户敏感信息,利用这些敏感信息还可进行更深度的漏洞挖掘。其漏洞危害比较大,故将其作为一个漏洞案例分享出来给大家。
常见授权访问漏洞
weixin_60838266的博客
07-17 2128
由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可以执行任意方法,从而导致远程命令执行漏洞。受影响的版本包括 5.0 和 5.1 版本(即默认情况下)。
API接口漏洞利用及防御
Z__7Gk的博客
07-27 1537
API(Application Programming Interface,应用程序编程接口)是不同软件系统之间进行数据交互和通信的一种方式。API接口漏洞指的是在API的设计、开发或实现过程中存在的安全漏洞,可能导致恶意攻击者利用这些漏洞来获取授权访问、篡改数据、拒绝服务等恶意行为。
接口测试显示请求授权
qq_44973310的博客
12-09 2468
接口测试显示请求授权
关于授权访问的挖掘思路&实战
永远都没有了
05-01 4469
授权访问的挖掘不是针对所有网站,这只是一种思路,通过信息收集来实现登录绕过,从而达到授权。正常来说可以通过抓包修改返回值也可以达到绕过,前提是不知道网站代码的判断情况下,可以尝试猜解返回值。如果网站后端认证做好了,是不会有该漏洞的。
Web 攻防之业务安全接口授权访问/调用测试(敏感信息泄露)
网络安全领域___专研者.
04-11 3929
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全
二维码统一管理平台-API接口文档.docx
10-26
- **接口安全机制**:为了保护数据的安全接口可能采用了如OAuth认证、签名算法等安全措施,防止授权访问。 - **公共请求头参数说明**:公共请求头通常包含如Authorization、Content-Type等关键信息,是请求...
VX-API-Gateway是基于Vert.x(java)开发的API网关,是一个全异步,高性能,可扩展,轻量级的API网关
05-02
6. **安全性**:内置的安全特性包括基本的认证、授权和加密功能,可以保护API免受授权访问和攻击。用户可以通过配置OAuth2、JWT等认证机制,确保数据传输的安全。 7. **监控与日志**:为了便于系统运维,VX-API-...
nft-api
03-25
4. **授权访问控制**: 开发者可以通过API来管理NFT的使用权限,例如设定谁可以查看、复制或修改NFT。 5. **事件监听**: NFT API 可以订阅并处理链上的事件,例如当NFT被创建、转移或销毁时,开发者可以接收到实时...
PHP---API 接口设计教程
12-12
* 认证和授权:使用基于角色的访问控制(RBAC)等方式来控制用户的访问权限。 * 加密:使用 SSL/TLS 等加密协议来保护数据传输。 * 输入验证:验证用户输入的数据来防止 SQL 注入和跨站脚本攻击等。 API 接口设计是...
一文解决:Swagger API 授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 3万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权访问可能会导致安全漏洞。本文将介绍如何解决问题。
Web API 漏洞介绍(一)
weixin_44217321的博客
02-04 1710
API漏洞是指API安全性中可能被恶意行为者利用的潜在弱点或漏洞。这些漏洞可能存在于API的任何部分,从设计阶段到部署阶段。它们可能会导致严重的后果,例如数据泄露、授权访问,甚至系统崩溃。
Docker API 授权访问漏洞
qq_42383069的博客
05-09 7930
Docker API 授权访问漏洞 1、漏洞简介 在Docker的部署文档中,由于默认存在某些不安全的配置样例,导致2375管理端口对外,该授权访问漏洞是因为Docker API可以执行Docker命令,该接口是目的是取代Docker命令界面,通过URL操作Docker。 2、漏洞原理 利用 Docker 节点上开放的 TCP 端口 2375 远程执行 Docker 命令,进而可获取服务器 Root 权限。 3、漏洞环境搭建 这里我们直接使用 vluhub 环境 cd vulhub/docker/una
(35.2)【接口漏洞专题】接口遍历、接口调用重放、接口参数篡改、接口授权访问
04-15 3348
【专题】接口漏洞利用
API接口实施访问控制:缺少有效的访问控制机制,可能导致数据被授权用户访问
图幻未来的博客
02-04 480
引入会话管理机制和**缓存清理工具**以确保用户会话的有效性及时删除过期的缓取内容从而减少被劫持的可能性. 其中可选用**JWT**进行会话管理并使用**LRU (Least Recently Used) Cache**策略清除不再需要的缓存数据.采用 **基于角色的访问控制 (RBAC)** 等策略来实现细粒度的权限管理. 分配给用户的角色对应着不同级别的权限限制 , 用户只能在其所持有的角色对应的资源范围内行使权力。- 使用**JWT (JSON Web Tokens)**进行一次性令牌认证等方式。
实战SRC | api接口授权 + 越权漏洞
2301_80127209的博客
01-04 847
userToken=,拼接上在该学校查询到的学号,发现并不能获取到信息。于是仔细的观察,发现有个api路径为 :"url":"/api/xxx"一次在fofa上通过学习的fofa语句进行查询,无意中查询到了一个网址。所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.果然,成功获取到账号密码,通过遍历学号,找到管理员的账号,密码信息。这次通过修改userToken的值,可以直接进行越权!进来继续寻找是否有其他漏洞,果然,又让我找到了!本文由掌控安全学院 - zxl2605 投稿。
接口授权访问/调用测试
酷狗直播-锦凡歆的博客
05-28 4146
接口授权访问/调用测试 在正常的业务中,敏感功能的接口需要对访问者的身份进行验证,验证后才允许调用 接口进行操作。如果敏感功能接口没有身份校验,那么攻击者无须登录或者验证即可调用 接口进行操作。在安全测试中,我们可以使用Burp Suite作为HTTP代理,在登录状态下记 录所有请求和响应信息,筛选出敏感功能、返回敏感数据的请求。在登录的情况下,使 用浏览器访问对应敏感功能的请求,如果返回的...
magic-api添加接口鉴权
08-24
### 回答1: 对于您的问题,我可以回答。在Magic-api中,您可以通过添加接口鉴权来提高接口安全性。您可以使用API密钥、JWT Token等方式进行接口鉴权,以确保只有授权用户才能访问接口。在具体实现上,您可以在请求头中添加相应的授权信息,并在服务端对该信息进行验证,以确定用户是否有访问接口的权限。 ### 回答2: 鉴权是用于验证API请求是否合法的一种安全措施。在使用magic-api添加接口鉴权时,可以采用以下步骤: 1. 生成密钥:首先,需要生成一个用于鉴权的密钥。可以使用常见的加密算法如HMAC-SHA256等来生成密钥。确保密钥具有足够的复杂度和安全性。 2. 将密钥配置到magic-api:在magic-api的配置文件中,添加一个鉴权相关的配置项,将生成的密钥配置到该项中。这个配置项可以是一个字符串,也可以是一个文件路径,存储密钥的值。 3. 添加鉴权中间件:在接口请求处理流程中,添加一个鉴权中间件。该中间件的作用是在请求到达API处理逻辑之前,对请求进行鉴权验证。通过读取配置的密钥,对请求的参数、头部信息等进行加密或签名,并与鉴权中间件请求中的加密或签名进行比对。 4. 验证鉴权结果:鉴权中间件会返回一个鉴权结果,通常可以是布尔值或者一个带有鉴权信息的对象。根据鉴权结果,可以决定是否允许继续处理该请求。如果鉴权失败,返回一个相应的错误信息,并拒绝该请求。 5. 日志记录:为了追踪和审计API请求的鉴权情况,可以在鉴权中间件中添加日志记录的功能。记录每个请求的鉴权结果、鉴权时间、请求参数等信息,以便后续的统计和分析。 通过以上步骤,可以在magic-api中添加接口鉴权功能,提高API安全性和可靠性,确保只有经过合法鉴权的请求能够被正常处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值