API漏洞挖掘
2024-2-17 21:43:16 Author: mp.weixin.qq.com(查看原文) 阅读量:47 收藏

API漏洞挖掘2个例子

正文

第一个漏洞:

在浏览bp历史记录以查看各种请求时,发现一个与组织中用户相关的一些信息


GET /auth/api/v2/users HTTP/2
Host: api.redacted.com
User-Agent: 
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
X-Csrf-Token: [CSRF_TOKEN]
Authorization: Bearer [JWT_TOKEN]
X-Organization-Unit: [ORGANIZATION_ID]
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
Te: trailers

将X-Organization-Unit Header改为另一个Organization id

发现这是一个IDOR问题

后面又将v2改成了v1,发现也出问题了

第二个问题:


POST /api/GetUsersById HTTP/2
Host: api.redacted.com
Cookie:  
User-Agent: 
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json; charset=utf-8
X-Csrf-Token: 
X-Requested-With: XMLHttpRequest
Content-Length: 
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers

{Some JSON Post Data To Specify IDs for users}

这里存粹猜测出另外一个接口:/api/GetAllUsers,惊讶的发现获取到所有用户的信息了!

总结

善于尝试自己主动改变请求中的各个参数,如果响应中有什么报错,那么此时就有可能有漏洞在等着你!


如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放


往期回顾

年度精选文章

SSRF研究笔记

xss研究笔记

dom-xss精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247493570&idx=1&sn=27c75a225a6b78e63274bf8c60c6698d&chksm=e8a5eda1dfd264b71163136c96cbdcfd8ed97d1d5b471f86149806c05811ce282b197b035df4&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh