由一个接口所发现的问题

adopi

由一个接口所发现的问题
正文
目标的注册接口为： target.com/registe，在注册页面发现验证码，试图绕过这个，但是未成功。

后面发现了另外一个子域名: api.target.com,通过模糊测试，找到了这个接口 api.target.com/v1/users

开始分析这个接口，发现这个应该是创建账户的请求，同时没有发现任何验证，



向入侵者(intruder)模块发送请求并通过不同的邮件发送60个请求。


结束语
其实这里是通过自己的耐心与细心发现的这个漏洞，而发现一个逻辑漏洞往往就是需要这分耐心。另外，这篇文章其实并没有详细讲解怎么分析接口，分析接口的时候其实往往要思考以下几个问题:

这个是什么业务功能
这个功能有什么作用
如果改动某个参数，返回包会发生什么变化，会不会报错?
以上是分析业务逻辑的核心，今天分享就到这里。