API Unauthorized¶
0x01 漏洞描述¶
接口未授权访问,顾名思义在不进行请求授权的情况下,能够直接对相应的业务逻辑功能进行访问、操作等。通常是由于认证页面存在缺陷或者无认证、安全配置不当等导致的。
0x02 常见应用场景¶
最常见的应用场景为后台某些API接口在不登录系统的情况,直接请求对应的URI即可访问、操作该接口。
攻击者最常见的攻击途径主要有如下:
- 通过目录扫描工具加载目录字典探测
- 通过模糊测试URI中的参数进行探测
- 通过前端静态文件,比如JS、webpack等查找
0x03 漏洞危害¶
- 攻击者可在没有认证的情况下直接操作对应的API接口,可直接被非法增删改次数据。
- 因为攻击是在未认证下进行的,所以后续无法通过定位用户进行异常排查。
0x04 修复建议¶
- 对于后台接口,确保所有API接口先经过登录控制器。
- 在验证用户身份权限前不进行任何数据的交互。