起

挖企业SRC的时候，尤其是大企业，经常会通过统一的SSO接口去登录，然后它旗下的大多数网站就不用再去单独注册了，你的SSO账号有权限的话就可以直接访问。

有权限就能直接访问？

是不是经常遇到这种情况？

你的账号没有开通这个业务，然后一闪而过就退出了。

但是真的没有权限吗？too young too simple

这种情况是经常有未授权/越权的

直接利用这个不存着权限的用户的cookie，访问api接口

承

api接口怎么获得？

这对大家来说轻而易举吧：

1、findsomething之类的浏览器插件
2、APIFinder之类的Burp插件
3、packerfuzzer、urlfinder之类的工具
。。。

然后整理枚举出来的api接口，直接burp intruder？

当然不能无脑intruder

还要分析接口的特征

比如一些接口uri是 /api开头的，一些是 /new/api，一些是 /v2/xxx开头的，等等...

找到这些特征之后，你要做的就是将这些起始的uri 和 api接口进行拼接，然后进行爆破，既然发post包，也要发get包

这一步非常重要，经常有师傅说js接口很容易就提取出来，但是为什么我就发现不了未授权呢？

如果你只是提取出来接口之后，直接在根路径抓个包，拼接url，然后burp或者啥小脚本一跑，哎，全是404、403，没洞没洞，下一个

那怎么能挖到洞呢？这种简单拼接的不是说没有，只是遇到确实需要一些运气...

转

那么如果你拼接完，发现确实有一些未授权接口了，但是没有泄露敏感信息怎么办？

答：利用现有的未授权接口特征和泄露的信息去fuzz其他需要进一步拼接的接口

什么是需要进一步拼接的接口？

简单来说就是这种:

需要你提供一些的参数，才能进行查询

各种参数怎么获得呢？

当然，你可以用 arjun去爆破，或者说你平时积累了丰富的参数fuzz字典，这都很不错。

还有呢？就是通过已知找未知

如果你根据其他接口的返回值发现参数名基本都是 英文_id

那么版本id是为什么？

是不是显而易见了 version_id

合

现在参数名知道了，那么参数值呢？

当时首先是对各种类型的字符串、数字爆破一通，碰碰运气。

然后呢？

还是通过已知找未知

比如这个：

如果单靠这个接口，是不是看着怎么都fuzz不出来？

当然可以通过其他接口获得啦

然后根据编号的规律，再去爆破

之后拼接，访问，高危这不就来了嘛

建立了一个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞

圈子专注于更新src相关：

1、维护更新src专项漏洞知识库，包含原理、挖掘技巧、实战案例2、分享src优质视频课程3、分享src挖掘技巧tips4、小群一起挖洞

图片

图片

图片

图片图片

图片图片