一、背景
日常开展SRC漏洞挖掘,在开启某插件(下载链接见文末)过程中,被动扫描发现bypass403后访问的页面,进一步发现多个漏洞,记录分享下过程。
二、实战过程
SRC时,日常开启动插件的被动扫描功能,此操作为常规操作,出洞率不错,但仅限于java站。建议各位师傅使用,因带扫描攻击特征,对于测试带了waf的安全软件的站点,可能会被封禁止IP。
此处假设为:https://xxxx.edu.cn/api/user-service/v2/api-docs;.js。在浏览器访问此链接,访问成功,泄露了大量的api接口信息。
但如果去了符号“;,”,在浏览器则提示403,说明此插件在扫描过程中进行403 bypass。
针对泄露的接口,由于工具误报率较高,未使用相关的工具进行接口探测,作者人工进行了排查。经过排查,发现存在任意注册用户及未授权访问用户信息问题。
漏洞一:任意用户注册
在https://xxx.edu.cn/api/user-service/touristLoginByPhone 此接口处存在任意用户注册,前端页面无注册功能,通过此功能注册任意用户,并获取登录凭证。此处的phone根据后端报错提示告知。
使用登录接口获取登录凭证。
登录接口地址:https://xxxx.edu.cn/api/user-service/touristLoginByPhone
漏洞二:未授权查询用户信息
在接口https://xxxx.edu.cn/api/user-service/userInfo/getUserInfoByUserId处存在未授权查询用户信息漏洞。
通过遍历id可以获取整站的用户信息。此处以获取管理员信息为例。id为1为管理员信息。
工具获取方式
https://github.com/Tsojan/TsojanScan/releases/tag/v1.4.6
原文始发于微信公众号(锐鉴安全):Bypass 403漏洞挖掘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论