【翻译】我的首次经历：发现关键错误（API配置错误）(027)

标题：My debut with a Critical Bug: How I found my first bug (API misconfiguration) 

作者：whit3ros3

原文地址：https://infosecwriteups.com/my-debut-with-a-critical-bug-how-i-found-my-first-bug-api-misconfiguration-2f7cadc89669

终于，我迎来了分享我个人发现的时刻，而不仅仅是阅读其他研究人员的发现（我真的很喜欢这样做，因为它是我动力的重要来源之一）。废话不多说，让我们一起探讨我首次发现漏洞的旅程。

简而言之，这是一个API配置错误的漏洞，我在请求中发现了一个具有潜在危险权限的API密钥。

请允许我用一个老套的陈述介绍我们的目标：我们将其称为“example.com”，一个电子商务网站。几天里，我试图寻找各种漏洞，如登录绕过、XSS、子域接管等，但我的努力都毫无结果。就在我这个初学者的耐心即将耗尽时，我偶然发现了一篇研究人员在Medium上发布的博客文章，他在JavaScript文件中发现了一些敏感数据。受到启发，我决定在我的目标上尝试一下，并开始寻找JS文件。

我使用的命令是 echo “example.com” | gau | grep .js | httpx -mc 200

这使我发现了大量的JS文件。在花了一些时间后，我找到了一个可疑的文件。我将JS文件的数据复制到我的VS Code中，以便更容易阅读。我深入研究它并找到了一些引人入胜的数据。

它包含许多秘密和API密钥，但作为一个初学者，我不知道如何利用这些信息。然后，我求助于每个漏洞猎人的朋友：研究！我坐下来开始在Google、ChatGPT、GitHub存储库上搜索，阅读一些博客，咨询一些导师朋友，试图利用这些敏感数据。遗憾的是，我的努力收效甚微，因为我发现的API密钥和秘密要么无法被利用，比如博客站点的ALGOLIA密钥，只具有推荐和搜索权限。

而其他一些则导致了公开可访问的数据，比如托管在“contentful.com”上的目标博客站点的内容。又是一条死胡同。

当我决定在Burp Suite中浏览我的目标列表，寻找一些有趣的东西时，我几乎要放弃这个目标，这是我在另一篇博客中读到的一个提示。就在那时，一切发生了。

一个主机引起了我的注意：https://(application_id).algolianet.com

当我检查发送到这个主机的请求时，我注意到了一些有趣的东西。一些请求使用了我在JS文件中找到的相同API密钥，而其他一些包含了不同的API密钥。

这个差异引起了我的注意，于是我回到了我之前读过的这篇博客：

https://www.secjuice.com/api-misconfiguration-data-breach/

利用这些知识，我探索了这个新API密钥的权限。就在那时，我有了我的顿悟时刻。

它具有添加和删除对象的权限。我并没有尝试添加或删除任何内容，担心可能会破坏网站。我知道这些是一些危险的权限。于是，我准备了一份报告并提交了它。不到一天的时间，它被分类为高严重性，但几天后，它被更新为关键性。

我的耐心得到了回报，还带有一些运气成分。虽然不像XSS那样有恶意的payload。但漏洞就是漏洞，而这个漏洞可能导致整个博客站点崩溃！

每周一9点发布精选内容。

每周三9点发布翻译内容。

更多安全资讯，请关注微信公众号：安全虫。

每周坚持学习与分享，觉得文章对你有帮助可在底部给点个“在看”。