API漏洞挖掘

最新推荐文章于 2025-03-18 10:09:03 发布
原创 最新推荐文章于 2025-03-18 10:09:03 发布 · 831 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #web安全 #安全

本文详细描述了两个API漏洞案例,涉及IDOR问题和通过改变请求参数暴露敏感数据。作者鼓励读者主动测试并强调了定期学习网络安全的重要性。

API漏洞挖掘2个例子

正文

第一个漏洞:

在浏览bp历史记录以查看各种请求时,发现一个与组织中用户相关的一些信息

  
GET /auth/api/v2/users HTTP/2  
Host: api.redacted.com  
User-Agent:   
Accept: application/json, text/plain, */*  
Accept-Language: en-US,en;q=0.5  
Accept-Encoding: gzip, deflate  
X-Requested-With: XMLHttpRequest  
X-Csrf-Token: [CSRF_TOKEN]  
Authorization: Bearer [JWT_TOKEN]  
X-Organization-Unit: [ORGANIZATION_ID]  
Sec-Fetch-Dest: empty  
Sec-Fetch-Mode: cors  
Sec-Fetch-Site: same-site  
Te: trailers

将X-Organization-Unit Header改为另一个Organization id

发现这是一个IDOR问题

后面又将v2改成了v1,发现也出问题了

第二个问题:

  
POST /api/GetUsersById HTTP/2  
Host: api.redacted.com  
Cookie:    
User-Agent:   
Accept: application/json, text/javascript, */*; q=0.01  
Accept-Language: en-US,en;q=0.5  
Accept-Encoding: gzip, deflate  
Content-Type: application/json; charset=utf-8  
X-Csrf-Token:   
X-Requested-With: XMLHttpRequest  
Content-Length:   
Sec-Fetch-Dest: empty  
Sec-Fetch-Mode: cors  
Sec-Fetch-Site: same-origin  
Te: trailers  
  
{Some JSON Post Data To Specify IDs for users}

这里存粹猜测出另外一个接口:/api/GetAllUsers,惊讶的发现获取到所有用户的信息了!

总结

善于尝试自己主动改变请求中的各个参数,如果响应中有什么报错,那么此时就有可能有漏洞在等着你!

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放

为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

漏洞挖掘】——82、API接口安全问题刨析
Fly_鹏程万里
06-12 248
随着互联网的快速发展,应用程序接口(API)成为了不同系统和服务之间进行数据交换和通信的重要方式,然而API接口的广泛使用也引发了一系列的安全问题,在当今数字化时代,API接口安全问题的重要性不容忽视,恶意攻击者利用漏洞和不当的API实施,可能导致数据泄露、身份验证问题以及系统的完整性和可用性受到威胁,本文将探讨API接口安全问题的重要性并介绍常见的安全威胁和挑战,还将探讨如何保护API接口免受这些威胁并介绍一些最佳实践和安全措施。
漏洞挖掘】——83、API接口安全问题刨析
Fly_鹏程万里
06-12 467
在HW期间的目标信息收集阶段,我们时而会遇到WSDL(Web Services Description Language)的XML格式文件,其定义了Web服务的接口、操作、消息格式和协议细节,在WSDL文件中很多时候都会指定服务的端口类型(Port Type)和绑定(Binding),绑定定义了如何使用 SOAP协议进行通信以及消息的格式和传输细节,而这很多时候会被对此不是很了解的红队队员会直接进行忽略,而部分对此有了解红队的会对接口进行Fuzzingc测试,试图找寻诸如命令执行、SQL诸如等漏洞,力争获取
漏洞挖掘 | 通过API接口拿到CNVD证书
weixin_44217321的博客
02-18 1619
某公司平台系统存在任意文件上传及敏感信息泄露漏洞,由于对swagger-ui未做好访问控制措施,导致攻击者可以通过swagger页面获取网站API信息,进而导致攻击者构造payload对系统API进行攻击。
Web API 漏洞介绍(一)
weixin_44217321的博客
02-04 2489
API漏洞是指API安全性中可能被恶意行为者利用的潜在弱点或漏洞。这些漏洞可能存在于API的任何部分,从设计阶段到部署阶段。它们可能会导致严重的后果,例如数据泄露、未授权访问,甚至系统崩溃。
漏洞挖掘】攻击对外开放的Docker API接口
weixin_30359021的博客
01-22 390
https://medium.com/@riccardo.ancarani94/attacking-docker-exposed-api-3e01ffc3c124 1)场景 攻击开放在互联网的Docker API 2)问题难点 Docker API外放有什么危害? 3)解决问题的方法 理解客户API公开互联网的原理 信息收集和枚举 利用Docker CLI测试暴露的API 批量挖掘 ...
网络安全】Trpc 视角下的现代 API 漏洞挖掘研究
最新发布
等风来
03-18 2408
在这篇文章中,我将讨论我对 tRPC 的研究。首先,我们将回顾 tRPC 的概念,然后再分析 tRPC 应用的攻击面。作为开发者,我们需要在服务器上使用 TypeScript 定义 API,明确指定代表 API 端点的函数的输入和输出类型。在 tRPC 中,这些函数被称为“过程”(Procedures),它们可以执行各种操作,例如获取数据(查询,Queries)以及创建、删除和更新数据(变更,Mutations)。在服务器端,过程(Procedures)被组织到路由(Routers)中。
实战漏洞挖掘案例总结:审查日志漏洞、JS文件漏洞、Grafana面板绕过漏洞、IDOR漏洞引起的越权漏洞、子域接管漏洞挖掘技巧、API漏洞挖掘实战、Azure DNS接管漏洞挖掘
代码讲故事
12-02 1661
实战漏洞挖掘案例总结:审查日志漏洞、JS文件漏洞、Grafana面板绕过漏洞、IDOR漏洞引起的越权漏洞、子域接管漏洞挖掘技巧、API漏洞挖掘实战、Azure DNS接管漏洞挖掘漏洞(vulnerability)是指系统中存在的一些功能性或安全性的逻辑缺陷,包括一切导致威胁、损坏计算机系统安全性的所有因素,是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。由于种种原因,漏洞的存在不可避免,一旦某些较严重的漏洞被攻击者发现,就有可能被其利用,在未授权的情况下访问或破坏计算机系统。
细说漏洞挖掘
bluemoon_0的博客
03-13 312
细说漏洞挖掘
API 渗透测试之漏洞发现
优快云_224022的博客
06-20 751
API 渗透测试中,因为 API 的特殊性,如果前期信息收集不全(比如 API 列表不全遗漏了影子 API),自动化扫描过程中会无法检测到相应 API漏洞,这时通常需要手工挖掘漏洞发现是利用收集到的信息,发现应用程序的缺陷或漏洞的过程。在常规的渗透测试中,这种漏洞发现的范围非常广,包含了信息系统的方方面面,比如网络层协议配置错误、主机补丁没有及时升级、应用层权限配置错误等。在实际工作中,往往两种方式混合使用,比如先使用自动化检测工具全量扫描一次,再针对高风险业务场景,进行人工渗透或复核。
(45.4)【API接口漏洞API接口常见的漏洞、owasp API 漏洞Top10
05-07 3453
API接口漏洞】Top10
安全漏洞API接口
angaoux03775的博客
01-08 1166
  这个是avfisherapi写的API,经常用,每次找他的博客都搜到AV,尴尬。。在这里记下来。 0x01 查询最新安全事件和漏洞的接口 接口URL: 乌云网:http://avfisherapi.sinaapp.com/wooyun/ Freebuf:http://avfisherapi.sinaapp.com/freebuf/ 安全牛:http://avfisher...
深入浅出API测试|搜集分析与漏洞挖掘实战
weujie
12-21 2047
因此,批量赋值可能会导致网站允许处理开发人员设置的隐藏参数。通俗来说,就像是餐馆中的隐藏菜单,虽然菜单中没有展示,但是厨师也是可以制作的。因此测试之前要尽可能的去测试功能点,观察代理流量,发现API目录收集信息,拓展攻击面。漏洞成因是由于从模型对象字段中创建参数,这种情况下,通常可以通过手动查询API返回的模型对象来发现隐藏的参数。除了明面上已使且可看见的功能外,可能还存在一些隐藏的或是权限不足导致的不展示的功能。当发现到API文档后,可以获取到大量的API接口功能信息,除了可以手动构造外,还可以通过。
漏洞挖掘篇(进阶·上)
m0_57929980的博客
06-23 1964
漏洞挖掘篇(进阶·上):介绍程序切片技术及方法、程序插桩技术、Hook技术(包括消息Hook、API Hook)
API安全学习 - crAPI漏洞靶场与API测试思路
A_991128a的博客
02-20 1130
结合靶场内容和AI给出的结论可以大致得出API可能会受到以下安全风险的威胁:认证和授权问题:未授权的用户可能会使用API,在没有经过充分身份验证的情况下访问敏感数据或执行敏感操作。注入攻击:黑客可能会利用API中的漏洞,将恶意代码注入到应用程序中,以窃取敏感数据或执行恶意操作。僵尸网络攻击:攻击者可能会使用API来构建僵尸网络,这些网络可以被用来进行DDoS攻击。数据泄露:攻击者可能会利用API漏洞来获取未授权的访问权限,从而窃取敏感数据。
网络安全(三 漏洞的抓取与挖掘
Aidang的博客
05-01 1853
挖掘************************ 身份认证 常用弱口令/基于字典的密码爆破 锁定账号 信息收集(多看看子站上的东西) 手机号 密码错误提示(利用burpsuite) 密码嗅探 会话sessionID Xss/cookie import SessionID in url 嗅探 SessionID长期不变/永久不变 SessionID生成算法 Sequencer 私有算法 预判下一...
代码审计之百家cms
qq_44029310的博客
07-25 2057
本文包括环境搭建,xdebug调试配置,以及六个漏洞的复现和分析加调试。
漏洞挖掘的常见姿势
weixin_46626737的博客
03-13 308
2.web应用:分为已知CMS,通过网上搜索寻找对应的漏洞进行攻击,若不知道CMS,通过白盒代码审计,或者黑盒测试。http/https(主要是web方面):bp,fiddler,抓包精灵,charles。①工具:goby,nmap,nessus(这个最好),openvas,nexpose。扫描工具:xray,awvs,appscan,wpscan,企业內部产品。Ⅰ.端口服务:每个端口的程序都不一定相同,扫描的意义。Ⅱ.类型:远程执行,权限提升,缓冲区溢出。②单点EXP:网上人们公布的EXP。
47_API接口漏洞
qq_45301512的博客
02-02 1022
我觉得这里可以写个python脚本,与burp联用,在调用密码字典文件,给密码字典文件里面的每一个值都进行base64编码,然后获取第二个请求包,当第二个请求包里面的值与其它测试的值不一致的时候,就是破解出的账户密码,然后打印出账号密码。有的会遇到那种ip被ban的情况,可以考虑在打开网页的时候抓个包,然后修改client-ip或者X-Forwarded-For,将ip修改为其它的任意ip,就可以绕过ip被封禁的限制了。可以从网上去搜索下api接口去理解,下面有个我找到的网址,给出api接口的分类。
API安全Top 10 漏洞:crAPI漏洞靶场与解题思路
QIANDXX的博客
03-22 1780
在 hack 中学习,不要去学习 hack
国内SRC漏洞挖掘经验与技巧深度分享
"该文档是关于国内SRC(Security Response Center,安全响应中心)漏洞挖掘的经验和技巧分享,由PwnDog\硬糖_zzz撰写,作者来自成都体育学院体育新闻专业,曾是PKAV团队成员,专注于Web安全研究。文档内容涵盖了SRC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值