大家好,我想分享一下我是如何在某邀请项目中发现一个简单的API授权错误的,该错误影响了数千个子域,并允许我在无需用户干预的情况下使用大量不受保护的功能,从帐户删除到接管甚至于泄漏部分信息(姓名,电子邮件和雇主)。
要点:服务器没有检查(发起请求的)授权token是属于普通用户还是超级用户。
这是一个邀请项目,因此将删除一些敏感信息,我将其称为http://target.com。
我在使用dirsearch对网站进行扫描的同时,通过浏览http://academy.target.com对网站的功能做了大致了解,我注意到一个有趣的端点,如:http://academy.target.com/api/docs此类端点就像是个金矿,因为它列出了API文档并指定了请求和响应的结构。
在浏览到端点时,我发现页面与Swagger UI非常相似(尽管此站点未使用swagger)。它还有一个名为“ Authenticate (验证)”的按钮,单击该按钮可导航到登录页面,但是如果我尝试登录,则会提示“ Account not authorized (账户未授权)”。
有一些有趣的端点,例如:
/ poweruser / add
/ poweruser / delete
/ user / delete
/ user / create
/ user / user_logged_in
/ user / profile
页面有点像这样。
这让我措手不及,因为这些端点似乎应该只供内部/高级用户使用。在没有任何APItoken或 authorization 头的情况下直接调用端点会导致:
该网站似乎未提供任何API,并且我找不到任何生成APItoken的方法,因此我决定稍后再进行检查。在对该网站进行深入分析后,我仍然不能在请求或响应中找到一个APItoken。但是,我注意到许多请求都有 authorization 头。
我决定只复制authorization 头并将其包含在对我发现的API端点的调用中。我创建了另一个帐户,并尝试通过api / user / edit的POST请求更改其密码。
可以看到响应成功!
Wow~biu踢佛,除了将帐户(权限)升级为高级用户之外,我还可以成功调用几乎所有其他API端点。该文档详细说明了删除/接管/创建新帐户以及执行其他一些危险操作所需的参数。
我决定直接将该漏洞报告给供应商,结果他们有了一个私人漏洞赏金计划,并授予我440美元的赏金。
团队公众号:Timeline Sec
2084
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
