目录
声明
本次渗透测试已获得合法授权,本文仅用于网络安全技术学习与交流,所有内容均已脱敏处理。严禁任何个人或组织将内容用于非法用途,由此产生的一切违法违规行为及后果,均与作者无关。
本文首发于公众号"希泽Sec"
漏洞背景与发现
起初对该目标进行弱口令测试,发现多次密码错误会锁定账户,就想着看看能不能用bp抓包修改响应代码突破一下,试了发现不行,后来又用vuecrack插件对目标系统进行未授权访问检测,发现存在未授权访问。
漏洞细节与原理
未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,即可通过直接输入网站控制台主页面地址或不允许查看的链接便可进行访问,同时进行操作。
测试细节:在测试未授权的时候用的bp内置浏览器,过程中发现bp代理的流量很多、很庞大,大致浏览一下,发现部分响应包json泄露了很多信息,不止银行账户,这里没有一一列举出来。
复现步骤
1.访问目标url,页面如下:
2.使用vuecrack插件对目标系统进行未授权访问检测,存在未授权访问,成功进入后台页面,证明如下:
3.测试的过程中同时使用burpsuite代理流量,发现某些响应包json中泄露某某公司银行账户信息,证明如下:
修复建议
1.除公有资源外,默认情况下拒绝访问;
2.对API和控制器的访问进行速率限制,以最大限度地降低自动化攻击工具的危害;
3.当用户注销后,服务器上的令牌应立即失效;
4.对于每一个业务请求,都需要进行权限校验。
至此,API未授权漏洞挖掘思路分享结束,感谢支持!