【网络安全】PII:接口未授权访问敏感数据

最新推荐文章于 2025-09-29 22:20:16 发布
最新推荐文章于 2025-09-29 22:20:16 发布
阅读量1.9k 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络安全新手快速入门(附漏洞挖掘案例) 文章标签: web安全 漏洞挖掘
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/142531793

未经许可,不得转载。

文章目录

目标:example.com

正文

查看订单接口:/api/order?orderid=<order_id>,其中 <order_id> 为数字字符串。尽管我尝试增大和减小几个数字进行并发请求,服务器仍返回了 403。

随后,我发现了另一个接口:

example.com/api/email/<order_id>?emailName=partiallyRegistered&language=en&country=US

该接口返回一个 HTML 文件,包括姓名、地址、电子邮件、电话号码和付款详细信息。同样,我尝试增大和减小几个数字进行并发请求,但服务器依然返回 403。

在尝试了 SQL 注入后,我遭遇了 WAF 的阻拦。最终,我决定删除 Cookie 并重新访问,竟然成功返回了我的详细信息,并且我能够遍历 <order_id>

许多赏金猎人可能认为如此大公司的平台不会存在此类问题,但事实证明,这里确实存在疏漏。

img

原文出处:https://medium.com/@ismailsaid1603/how-i-discovered-a-pii-disclosure-risk-affecting-thousand

了解本专栏 订阅专栏 解锁全文 超级会员免费看
未授权访问-api接口
san3144393495的博客
04-05 2170
比如,正常路径是http://www.xx.com/api/user/list,而在测试未授权的时候,访问资源http://www.xx.com/user/login,这种对面服务器再找路径都找到。比如,正常路径是http://www.xx.com/api/user/list,而在测试未授权的时候,访问资源http://www.xx.com/user/login,这种对面服务器再找路径都找到。根据之前跑出来的未授权的数据作为参数再去跑一便,不知道post传参是什么的就去访问一下抓包,看看有哪些传参的地方,
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
myJavaHe的博客
03-15 3178
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
接口测试显示请求未授权
qq_44973310的博客
12-09 2931
接口测试显示请求未授权,postman请求未授权
(35.2)【接口漏洞专题】接口遍历、接口调用重放、接口参数篡改、接口未授权访问
04-15 3884
【专题】接口漏洞利用
未授权访问漏洞
2201_75572825的博客
08-08 3569
未授权访问漏洞是指攻击者可以在不经过身份验证或授权的情况下,访问网站的敏感资源或功能.这种漏洞通常发生在网站没有正确实施访问控制机制或存在安全配置错误的情况下,导致可以让任意用户或者限制访问用户可以访问到内部敏感信息。
精选资源
amazon申请PII接口四大开发者问题答案
07-28
在申请亚马逊PII接口的过程中,开发者需要面对一系列关于网络安全、资产管理、安全编码实践以及漏洞管理的问题。以下是对这些问题的详细解答: **网络保护** 对于网络保护,组织采取了多重措施来确保数据的安全性:...
大数据安全架构:从数据脱敏到访问控制的完整方案
最新发布
Java大师兄的博客
09-29 741
随着企业数据规模呈指数级增长,《2023年数据安全白皮书》显示,全球数据泄露成本平均达435万美元,大数据安全已从合规要求升级为核心竞争力要素。本文聚焦数据使用环节的两大核心防护手段——数据脱敏与访问控制,构建从数据分类分级到策略执行的完整技术链条,覆盖金融、医疗、电商等典型行业场景,提供可落地的工程化实现方案。基础层:数据分类分级与安全架构设计核心层:脱敏技术(静态/动态)与访问控制模型(RBAC/ABAC)实践层:完整代码实现与金融级项目案例扩展层:前沿技术趋势与行业应用方案数据脱敏。
7、物联网网络安全与数据保护全解析
dell8的博客
08-27 31
本文全面解析了物联网环境下的网络安全与数据保护策略,涵盖网络安全概述、主机级与应用级安全措施、数据安全存储与分类、数据泄露原因及应对策略,并探讨了人工智能、零信任架构、区块链等未来安全趋势。通过实际案例和最佳实践建议,帮助组织构建多层次的安全防护体系,确保数据的机密性、完整性和可用性,同时满足合规性要求。
API接口漏洞案例—接口未授权
2301_77360081的博客
06-08 3936
本案例是最近在某车企的SRC众测中发现的一个比较常见的API接口未授权漏洞,该接口泄露了大量的客户敏感信息,利用这些敏感信息还可进行更深度的漏洞挖掘。其漏洞危害比较大,故将其作为一个漏洞案例分享出来给大家。
未授权访问服务搭建
公众号shadow sock7
06-04 2156
influxdb安装 参考: https://v2.docs.influxdata.com/v2.0/get-started/ wget https://dl.influxdata.com/influxdb/releases/influxdb_2.0.0-beta.8_linux_amd64.tar.gz tar zxf influxdb_2.0.0-beta.8_linux_amd64.tar....
解决系统接口报错 “没有权限,请联系管理员授权“ 的问题
pleaseprintf的博客
07-17 7330
在使用系统接口时,有时会遇到错误信息 “{ “msg”: “没有权限,请联系管理员授权”, “code”: 403 }”,表示当前用户没有足够的权限访问接口。本文将介绍如何解决这个问题,确保正确获取接口权限并避免权限访问错误。通过本文的介绍,你学习了如何解决系统接口报错 “没有权限,请联系管理员授权” 的问题。你了解了检查登录状态、检查接口权限配置、检查接口访问规则、检查系统配置以及联系管理员授权等方法。根据实际情况,逐步排查问题并采取相应的措施,确保正确获取接口权限,并避免因权限问题导致的访问错误。
一文解决:Swagger API 未授权访问漏洞问题
LiamHong_的博客
10-27 3万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决问题。
常见未授权访问漏洞
weixin_60838266的博客
07-17 6652
由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可以执行任意方法,从而导致远程命令执行漏洞。受影响的版本包括 5.0 和 5.1 版本(即默认情况下)。
淘宝API访问入口未授权怎么解决?
tbApi的博客
10-20 1222
2,致力于打造高质量API,除了自身的数据外,来自合作伙伴的各类API数据也是经过慎重的筛选,接口的质量和稳定性比较好,适合对接口质量和稳定性有较高要求的开发者。API数据接口作为众多开发人员进行开发工作最有效的助手,以后也会发挥着更大的作用,所以找到合适的接口才是最为重要的。1,良好的接口设计可以降低系统各部分的相互依赖,提高组成单元的内聚性,降低组成单元间的耦合程度,从而提高系统的维护性和扩展性。API的主要功能是提供应用程序与开发人员以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。
Spring Boot Actuator未授权访问排查和整改指南
热门推荐
weixin_44106034的博客
10-19 4万+
1、信息泄露:未授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对未授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的未授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
未授权访问漏洞系列详解③!
muyuchen110的博客
08-05 1546
【代码】未授权访问漏洞系列详解③!
针对Swagger接口泄露未授权访问的各种姿势
2401_83799022的博客
08-05 2万+
然后先从Swagger漏洞的相关简介,再到相关使用的插件包括工具等的使用,然后再从实战中的案例进行解析和讲解。关键字,这个你可以点击下,这个标识就是表示这个泄露的 接口需要我们输入加密的信息,要是按照正常的直接访问这个泄露的api接口,然后看敏感信息就不可行了,下面我来带大家使用一个Swagger脚本工具来给师傅们演示下。上面给师傅们分享的都是这几天的收获,然后前面的简介包括对于Swagger接口泄露和未授权也是解释方面也是蛮细的,也蛮适合新手宝宝看的文章,也是希望这篇文章对看的师傅们有些帮助哈!
大数据安全体系构建与全生命周期防护策略
明确指出数据安全的核心在于确保数据在其生产、采集、存储、传输、使用、共享、归档直至销毁等全生命周期各阶段的安全可控,并强调在整个过程中必须满足法律法规和行业合规要求,尤其是在《网络安全法》《数据安全法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值