特别注意api接口的一些命名规则
常见的是这种,具体要看开发人员怎么命名的
而确认api路径的最好办法还是去多出发几个功能点,看他的路径,比如下面触发多个功能点
对比得知两个路径都有pyr/user/这时候可能就会觉得这就是api路径,但是实际情况要去查看他的js文件
特别注意api接口的一些命名规则
常见的是这种,具体要看开发人员怎么命名的
而确认api路径的最好办法还是去多出发几个功能点,看他的路径,比如下面触发多个功能点
对比得知两个路径都有pyr/user/这时候可能就会觉得这就是api路径,但是实际情况要去查看他的js文件
有些系统的登录和密码找回并不在api路径下,所以还要结合实际情况去判断,不是刻板印象
比如直接就是http://www.xx.com/login, http://www.xx.com/passwd 那就不是api路径
http://www.xx.com/api/user/list
这种就很可能是,但具体的最好还是去翻找js文件
为什么要先讲清楚api路径和命名规则呢,因为所有的未授权接口,前提都是在合法的api路径下的,如果url都噶偶凑了,比如放在根目录区分为,就会错失很多漏洞,所以搞清楚api路径的命名规则,是根本
比如,正常路径是http://www.xx.com/api/user/list,而在测试未授权的时候,访问资源http://www.xx.com/user/login,这种对面服务器再找路径都找到
开始进阶
1.哪些网站容易出现未授权访问漏洞
一是一些访问一些url会给你自动跳转,跳转到index或者home这种,通常还有一个/#/号,而就是一个app,这种功能比较多,文件下载上传这方面是鉴权不好做,防止任意文件下载通常都是复杂的文件命名,但如何是时间戳这种就可以猜测出文件名字如何下载
通过一些工具扫描到api接口,和自己查看,整理出来到一个文本里面
有一些文件格式是json看的很头疼,需要还原
2.api接口从哪来,api接口往哪拼接
api拼接位置,从根目录开始遍历get和post请求方法,从api目录开始遍历get和post请求方式
3.参数怎么进来。参数怎么拼
参数fuzz大法
有些在遍历过后报错会提示某某参数不能为空,就可以尝试去提交参数
尽可能的多收集对应的数据,有一些网站是不会有排异反应的,不会因为参数很乱很多就拒绝服务,而是只会提取自己要的,会因为某一个参缺少而拒绝服务,这种去看就多去手机,比如登陆成功之后给的一些参数,访问商家给的一些参数等等
实战案例
先用熊猫提取路由
比如这个时候都是user什么什么,那现在就是在特征路径。如果user前面还有一个api,那说明api才是特征路径
然后就把收集的数据用burp去get,post都跑一遍
post提交注意项
根据之前跑出来的未授权的数据作为参数再去跑一便,不知道post传参是什么的就去访问一下抓包,看看有哪些传参的地方,
有些系统的登录和密码找回并不在api路径下,所以还要结合实际情况去判断,不是刻板印象
比如直接就是http://www.xx.com/login, http://www.xx.com/passwd 那就不是api路径
http://www.xx.com/api/user/list
这种就很可能是,但具体的最好还是去翻找js文件
为什么要先讲清楚api路径和命名规则呢,因为所有的未授权接口,前提都是在合法的api路径下的,如果url都噶偶凑了,比如放在根目录区分为,就会错失很多漏洞,所以搞清楚api路径的命名规则,是根本
比如,正常路径是http://www.xx.com/api/user/list,而在测试未授权的时候,访问资源http://www.xx.com/user/login,这种对面服务器再找路径都找到
开始进阶
1.哪些网站容易出现未授权访问漏洞
一是一些访问一些url会给你自动跳转,跳转到index或者home这种,通常还有一个/#/号,而就是一个app,这种功能比较多,文件下载上传这方面是鉴权不好做,防止任意文件下载通常都是复杂的文件命名,但如何是时间戳这种就可以猜测出文件名字如何下载
通过一些工具扫描到api接口,和自己查看,整理出来到一个文本里面
有一些文件格式是json看的很头疼,需要还原
2.api接口从哪来,api接口往哪拼接
api拼接位置,从根目录开始遍历get和post请求方法,从api目录开始遍历get和post请求方式
3.参数怎么进来。参数怎么拼
参数fuzz大法
有些在遍历过后报错会提示某某参数不能为空,就可以尝试去提交参数
尽可能的多收集对应的数据,有一些网站是不会有排异反应的,不会因为参数很乱很多就拒绝服务,而是只会提取自己要的,会因为某一个参缺少而拒绝服务,这种去看就多去手机,比如登陆成功之后给的一些参数,访问商家给的一些参数等等
实战案例
先用熊猫提取路由
比如这个时候都是user什么什么,那现在就是在特征路径。如果user前面还有一个api,那说明api才是特征路径
然后就把收集的数据用burp去get,post都跑一遍
post提交注意项
根据之前跑出来的未授权的数据作为参数再去跑一便,不知道post传参是什么的就去访问一下抓包,看看有哪些传参的地方,
取自:漏洞挖掘实战经验 | 未授权访问漏洞测试细节-下篇_哔哩哔哩_bilibili
