Web 攻防之业务安全:接口未授权访问/调用测试(敏感信息泄露)

这篇具有很好参考价值的文章主要介绍了Web 攻防之业务安全:接口未授权访问/调用测试(敏感信息泄露)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Web 攻防之业务安全:接口未授权访问/调用测试

业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。


目录

验证码绕过测试:

测试原理和方法:

测试过程:

第一步:在网站登陆后使用 Burp Suite 的爬虫功能,从重点关注的目录一般为网站根目录开始爬取,在 HTTP history 选项卡中选中要开始爬取的项,右键选择 “Spider from here” 爬取的结果会在 Target --> Site map 中显示,在爬取完毕后使用 Burp Suite 的  HIME Type 过滤功能筛选出接口相关的 HTTP 请求重点关注 json,script,xml,text MIME Type等.(这里只是步骤说明)

第二步:对接口相关的请求进行查看,查看响应中是否包含想要的敏感信息,如个人电话,IP地址,兴趣爱好,网站的浏览记录,身份证,手机号,地址等信息.(这里只是步骤说明)

第三步:将完整的请求 URL 复制到未登录的浏览器中,查看能否访问对应的 URL 的内容,如果能够返回敏感信息,则存在漏洞,如果需要登录后才能访问,则漏洞不存在.(这里只是步骤说明)

修复建议:


免责声明:

严禁利用本文章中所提到的技术进行非法攻击,否则后果自负,上传者不承担任何责任。


验证码绕过测试:

测试原理和方法:

在正常的业务中,敏感功能的接口需要对访问者的身份进行验证,验证后才允许调用接口进行操作,如果敏感功能接口没有身份校验,那么攻击者无需登录或者验证即可调用接口进行操作,在安全测试中,我们可以使用 Burp Suite 作为 HTTP 代理,在登录状态下记录所有请求和响应的信息,筛选出敏感功能,返回敏感数据的请求,在未登录的情况下使用,浏览器访问对应敏感功能的请求,如果返回的数据与登录状态后的一致则存在漏洞或缺陷。


测试过程:

攻击者在测试前,使用 Burp Suite 的爬虫功能对网站进行爬取,通过 HIME Type 筛选出与接口相关的请求,对筛选后的每一个请求进行判断是否包含敏感信息,如果包含敏感信息,则复制请求URL到未进行登录的浏览器中进行访问,如果访问后返回之前的敏感信息,则存在漏洞。

第一步:在网站登陆后使用 Burp Suite 的爬虫功能,从重点关注的目录一般为网站根目录开始爬取,在 HTTP history 选项卡中选中要开始爬取的项,右键选择 “Spider from here” 爬取的结果会在 Target --> Site map 中显示,在爬取完毕后使用 Burp Suite 的  HIME Type 过滤功能筛选出接口相关的 HTTP 请求重点关注 json,script,xml,text MIME Type等.(这里只是步骤说明)

Web 攻防之业务安全:接口未授权访问/调用测试(敏感信息泄露)

Web 攻防之业务安全:接口未授权访问/调用测试(敏感信息泄露)

Web 攻防之业务安全:接口未授权访问/调用测试(敏感信息泄露)


第二步:对接口相关的请求进行查看,查看响应中是否包含想要的敏感信息,如个人电话,IP地址,兴趣爱好,网站的浏览记录,身份证,手机号,地址等信息.(这里只是步骤说明)

Web 攻防之业务安全:接口未授权访问/调用测试(敏感信息泄露)


第三步:将完整的请求 URL 复制到未登录的浏览器中,查看能否访问对应的 URL 的内容,如果能够返回敏感信息,则存在漏洞,如果需要登录后才能访问,则漏洞不存在.(这里只是步骤说明)

Web 攻防之业务安全:接口未授权访问/调用测试(敏感信息泄露)

Web 攻防之业务安全:接口未授权访问/调用测试(敏感信息泄露)


修复建议:

(1)采用 Token 校验的方式,在 URL 中添加一个 Token 参数,只有 Token 验证通过才返回接口数据且 Token 使用一次后失效。

(2)在接口被调用时,后端对会话状态进行验证,如果已经登陆,便返回接口数据;如果未登录,则返回自定义的错误信息。

   

    

学习的书籍:Web 攻防之业务安全实战指南.文章来源地址https://www.toymoban.com/news/detail-411148.html

到了这里,关于Web 攻防之业务安全:接口未授权访问/调用测试(敏感信息泄露)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 小迪安全19WEB 攻防-.NET 项目&DLL 反编译&未授权访问&配置调试报错

    # ASPX 知识点: 1 、 .NET 配置调试 - 信息泄露 2 、 .NET 源码反编译 -DLL 反编译 3 、 .NET 常见安全问题 - 未授权访问 .NET:大部分都是通性漏洞;与java语言类似;本身被封装后,需要通过反编译获取之前的信息;大部分都是在windows上进行;#c是针对.net开发的,.net是一个开发框架;

    2024年01月21日
    浏览(63)
  • Web 攻防之业务安全:Response状态值修改测试(修改验证码返回值 绕过限制.)

    业务安全是指保护业务系统免受安全威胁的措施或手段。 广义 的业务安全应包括业务运行的 软硬件平台 (操作系统、数据库,中间件等)、 业务系统自身 (软件或设备)、 业务所提供的服务安全 ; 狭义 的业务安全指 业务系统自有的软件与服务的安全 。 Response状态值修

    2023年04月16日
    浏览(122)
  • 服务攻防-数据库安全-服务应用的安全问题以及测试流程-Mysql&Hadoop&未授权访问&RCE-漏洞复现

    目录 一、服务应用的安全问题 1、配置不当——未授权访问 2、安全机制——特定安全漏洞 3、安全机制——弱口令爆破攻击 二、服务应用的安全测试思路 1、判断服务是否开放 2、判断服务类型 3、判断利用方式 三、Mysql-未授权访问-CVE-2012-2122 利用 1、漏洞概述 2、漏洞复现

    2024年02月17日
    浏览(44)
  • Web 攻防之业务安全:验证码绕过测试.(修改数据包中 res_code 的值 实现绕过.)

    业务安全是指保护业务系统免受安全威胁的措施或手段。 广义 的业务安全应包括业务运行的 软硬件平台 (操作系统、数据库,中间件等)、 业务系统自身 (软件或设备)、 业务所提供的服务安全 ; 狭义 的业务安全指 业务系统自有的软件与服务的安全 。 验证码绕过测试

    2023年04月14日
    浏览(55)
  • Web安全:Redis 未授权访问漏洞 测试.

    Redis 默认情况下绑定在 6379 端口,然后如果没有进行添加防火墙规则避免其他非信任来源 IP 访问等相关安全策略,直接暴露在公网上。然后再没有设置密码或者设置了弱密码,因此导致此漏洞的产生. Redis 未授权访问漏洞的 危害: Redis 未授权访问漏洞 测试: 第一步:使用

    2024年02月11日
    浏览(45)
  • WEB攻防-Java安全&JWT攻防&Swagger自动化&算法&签名&密匙&Druid未授权

    知识点: 1、Java安全-Druid监控-未授权访问信息泄漏 2、Java安全-Swagger接口-文档导入联动批量测试 2、Java安全-JWT令牌攻防-空算法未签名密匙提取 参考:https://developer.aliyun.com/article/1260382 Druid是阿里巴巴数据库事业部出品,为监控而生的数据库连接池。Druid提供的监控功能,监

    2024年02月04日
    浏览(39)
  • 第55天:服务攻防-数据库安全&Redis&Hadoop&Mysql&未授权访问&RCE

    思维导图: 常见服务的安全测试: 服务安全流程: 案例一:Mysql-未授权访问-CVE-2012-2122 利用 案例二: Hadoop-未授权访问-内置配合命令执行 RCE 案例三:Redis-未授权访问-Webshell任务密匙RCE 等 写入webshell  写入计划任务反弹shell ssh密钥链接 ​编辑利用自动化脚本去getshell redi

    2024年04月27日
    浏览(37)
  • 网络安全全栈培训笔记(55-服务攻防-数据库安全&Redis&Hadoop&Mysqla&未授权访问&RCE)

    知识点: 1、服务攻防数据库类型安全 2、RedisHadoopMysql安全 3、Mysql-CVE-2012-2122漏洞 4、Hadoop-配置不当未授权三重奏RCE漏洞 3、Redis-配置不当未授权三重奏RCE两漏洞 #章节内容: 常见服务应用的安全测试: 1、配置不当-未授权访问 2、安全机制特定安全漏洞 3、安全机制弱口令爆

    2024年01月23日
    浏览(45)
  • 云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行

    Kubernetes是一个开源的, 用于编排云平台中多个主机上的容器化的应用,目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署,规划,更新,维护的一种机制 。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可

    2024年02月08日
    浏览(82)
  • 网络安全全栈培训笔记(WEB攻防-51-WEB攻防-通用漏洞&验证码识别&复用&调用&找回密码重定向&状态值)

    知识点: 1、找回密码逻辑机制-回显验证码指向 2、验证码验证安全机制-爆破复用识别 3、找回密码客户端回显Response状态值修改重定向 4、验证码技术验证码爆破,验证码复用,验证码识别等 详细点: 找回密码流程安全: 1、用回显状态判断-res前端判断不安全 2、用用户名重

    2024年01月16日
    浏览(62)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包