|
迪哥讲事 2023-10-07 15:21 发表于江苏
API漏洞挖掘2个例子
正文
第一个漏洞:
在浏览bp历史记录以查看各种请求时,发现一个与组织中用户相关的一些信息
- GET /auth/api/v2/users HTTP/2
- Host: api.redacted.com
- User-Agent:
- Accept: application/json, text/plain, */*
- Accept-Language: en-US,en;q=0.5
- Accept-Encoding: gzip, deflate
- X-Requested-With: XMLHttpRequest
- X-Csrf-Token: [CSRF_TOKEN]
- Authorization: Bearer [JWT_TOKEN]
- X-Organization-Unit: [ORGANIZATION_ID]
- Sec-Fetch-Dest: empty
- Sec-Fetch-Mode: cors
- Sec-Fetch-Site: same-site
- Te: trailers
复制代码
将X-Organization-Unit Header改为另一个Organization id
发现这是一个IDOR问题
后面又将v2改成了v1,发现也出问题了
第二个问题:
- POST /api/GetUsersById HTTP/2
- Host: api.redacted.com
- Cookie:
- User-Agent:
- Accept: application/json, text/javascript, */*; q=0.01
- Accept-Language: en-US,en;q=0.5
- Accept-Encoding: gzip, deflate
- Content-Type: application/json; charset=utf-8
- X-Csrf-Token:
- X-Requested-With: XMLHttpRequest
- Content-Length:
- Sec-Fetch-Dest: empty
- Sec-Fetch-Mode: cors
- Sec-Fetch-Site: same-origin
- Te: trailers
- {Some JSON Post Data To Specify IDs for users}
复制代码
这里存粹猜测出另外一个接口:/api/GetAllUsers,惊讶的发现获取到所有用户的信息了!
总结
善于尝试自己主动改变请求中的各个参数,如果响应中有什么报错,那么此时就有可能有漏洞在等着你!
|
|