API接口漏洞案例—接口未授权_api接口未授权访问漏洞

概述

本案例是最近在某车企的SRC众测中发现的一个比较常见的API接口未授权漏洞，该接口泄露了大量的客户敏感信息，利用这些敏感信息还可进行更深度的漏洞挖掘。其漏洞危害比较大，故将其作为一个漏洞案例分享出来给大家。

 

API接口未授权访问

目标网站是一个注册登录窗口，注册登录进去后没有发现有价值的漏洞，但是抓包发现几乎所有的功能交互都是调用的API，于是乎想到从API上面着手进行漏洞挖掘。

在前端JS代码中进行url提取后发现一个API接口，直接进行访问提示不支持GET方式访问，一般这里很可能存在未授权漏洞：

使用POST方式进行发送，发现API接口泄露了大量用户的货物名称、发出地址、发件人、发件人手机号、寄送地址、收件人、收件人手机号、经纬度等敏感信息。

 

任意用户密码重置

在忘记密码处，发送手机验证码

 

验证码随便填提交抓包

 

此时如果直接放包其响应包会提示验证码错误

 

拦截响应包将其resultCode参数改为200成功状态数据包再进行发送

 

 进入第三步设置新密码

修改密码成功

 

以上漏洞均已上报

回顾与反思 

 

▪  对每个API业务功能端点都要加强权限校验和逻辑判断

▪  在服务端实施数据过滤，而不依赖客户端过滤

▪  定期审查API响应，确保没有过度的数据暴露