跳转至

API Unauthorized

0x01 漏洞描述

接口未授权访问,顾名思义在不进行请求授权的情况下,能够直接对相应的业务逻辑功能进行访问、操作等。通常是由于认证页面存在缺陷或者无认证、安全配置不当等导致的。

0x02 常见应用场景

最常见的应用场景为后台某些API接口在不登录系统的情况,直接请求对应的URI即可访问、操作该接口。

攻击者最常见的攻击途径主要有如下:

  1. 通过目录扫描工具加载目录字典探测
  2. 通过模糊测试URI中的参数进行探测
  3. 通过前端静态文件,比如JS、webpack等查找

0x03 漏洞危害

  • 攻击者可在没有认证的情况下直接操作对应的API接口,可直接被非法增删改次数据。
  • 因为攻击是在未认证下进行的,所以后续无法通过定位用户进行异常排查。

0x04 修复建议

  1. 对于后台接口,确保所有API接口先经过登录控制器。
  2. 在验证用户身份权限前不进行任何数据的交互。