1、网站
听说某校重新上了证书,虽然我有洞,但是没金币,只好又去打一遍,看看能不能摸到。
打开目标站点,一看网络请求
真好,真是日内瓦
好在天无绝人之路
Get请求,八成就是API,再看headers,果然是的。
直接打开API地址
当头就是一个swagger
测试一下
试试获取列表
直接401,要登录
我会轻易放弃吗?显然不会
经过我的不断测试(耗时很久),我发现带admin的都不能越权和未授权访问,不带admin的API有一些可以未授权
比如:
不登录获取动态列表
随手测试,疑似select *写法,全返回了,不过我们只需要userId字段,这个大有用处
利用另一个接口:
根据用户ID获取用户信息,你说巧不巧,这个接口属于公共API,不需要授权
个人信息get。
这个点我还没交,我交了另一个位置,需要登录的洞。
2、小程序
由网站可知,这个程序配套一个小程序,直接扫码进入小程序(fiddler抓包)
为什么用fd抓包?
因为我用的PC版微信,fd可以指定进程。
选择进程,拖到小程序上,小程序变色就行了,然后测试
不限制账号,自己接码登录就行了,主要是获取cookie
获取到cookie备用
点校友组织
然后点第一个人数最多的(数据也多)
点进来可以点击成员->更多,提示加入才行,不用管,包已经抓到了。
这不就来了吗,后面还有,这点信息怕是没危害
学号,userId都有了,还不够?
够了吧?
至于上面的Cookie什么作用。当然是模拟请求用了。改limit,可以调整输出内容的条数。
3、赠送内容
其实swagger文档给的API还有挺多的,能未授权的还有多处
这里也是未授权的
等等
对了,新的查询平台不会随时挂了。
地址:https://data.shikangsi.com
示例图:
这是简单数据查询
这是详细数据查询
原文始发于微信公众号(明暗安全):API权限控制不严泄露敏感信息
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论