关于某SRC API接口测试的一个小案例

现在好多应用都通过API接口对外提供服务
如果鉴权做的不好的话,很容易出现未授权访问漏洞
通过BurpJSLinkFinder或findsomething很容易获取到接口信息
下面以某SRC API接口测试的一个小案例进行说明

首先访问接口 https://aaa.bbb.ccc/xxx/api/templateCenter/template

提示参数缺失,说明参数正确就有可能返回一些信息

经过一段时间的探索和研究,终于找到了参数和参数值,完整链接构造如下
https://aaa.bbb.ccc/xxx/api/templateCenter/template?templateId=一串数字
图片[1]-关于某SRC API接口测试的一个小案例-安全小天地
遇到API接口要多进行尝试,不要轻易放弃
高危和忽略之间,往往就差一份坚持

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞13 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容