免责声明:1.禁止未授权的渗透测试2.该文章仅供学习参考,切勿拿去尝试3.此文所提供的信息而造成的任何后果及损失,均由使用者本人负责4.一切后果与文章作者无关
一.漏洞名称:
未授权访问漏洞二.漏洞等级:
自评:中危三.漏洞描述
未授权访问漏洞可以理解为需要安全配置或权限认证的地址,授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作,数据库或网站目录等等敏感信息泄露。
四.验证过程
漏洞url:https://127.0.0.1/XXXXXXX/reactapp/baimingdan
网址页面:
通过访问以上这个页面,找js当中存在的一些接口(这里我是使用的是URLFinder)
工具推荐:
URLFinder是一款快速、全面、易用的页面信息提取工具用于分析页面中的js与url,查找隐藏在其中的敏感信息或未授权api接口https://github.com/pingc0y/URLFinder
然后该站点有许多未授权的访问接口,通过公开的接口我们可以利用某些泄露的信息加以利用。
就比如下列接口,泄露了视频名称(xxxxxx.mp4),但是这个时候我们无法进行观看此视频。
所以想要观看视频的话,还得寻找出加以调用视频的接口路径
通过URLFinder我们找到了可以调用mp4的接口
接口如下:
https://127.0.0.1/XXXXXXX/shujuchuanshu/jingyangongxiang/return_jingyangongxiang_file/?filename=直接调用这个接口,和视频文件接口进行拼接,就可以看到该单位内部员工开会的视频,不仅如此还可以看到一些很私密的东西。
不仅如此,某些接口还泄露了该单位的内部某些部门的员工姓名和手机号
比如下列接口:
https://127.0.0.1/XXXXXXX/shujuchuanshu/wanggetijianyi/wanggetijianyi_get_next_deal_servnumber
因为该单位的网站登录的时候,需要内部员工的手机号来接收验证码才可以,如果用其他的手机号则会提示:不是有效的手机号号码
所以我们也可以利用泄露的员工信息,进行下一步测试。
但是文章就暂时写到这里,就不往下面继续说了
因为该上班了,顾客还饿着肚子
五.修复建议
1.重新配置权限,对敏感接口进行权限校验2.禁用敏感接口
原文始发于微信公众号(漏洞谷):某单位网址未授权导致发生的视频信息泄露
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论