Web 攻防之业务安全:接口未授权访问/调用测试(敏感信息泄露)

news2024/11/14 16:53:32

Web 攻防之业务安全:接口未授权访问/调用测试

业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全狭义的业务安全指业务系统自有的软件与服务的安全


目录

验证码绕过测试:

测试原理和方法:

测试过程:

第一步:在网站登陆后使用 Burp Suite 的爬虫功能,从重点关注的目录一般为网站根目录开始爬取,在 HTTP history 选项卡中选中要开始爬取的项,右键选择 “Spider from here” 爬取的结果会在 Target --> Site map 中显示,在爬取完毕后使用 Burp Suite 的  HIME Type 过滤功能筛选出接口相关的 HTTP 请求重点关注 json,script,xml,text MIME Type等.(这里只是步骤说明)

第二步:对接口相关的请求进行查看,查看响应中是否包含想要的敏感信息,如个人电话,IP地址,兴趣爱好,网站的浏览记录,身份证,手机号,地址等信息.(这里只是步骤说明)

第三步:将完整的请求 URL 复制到未登录的浏览器中,查看能否访问对应的 URL 的内容,如果能够返回敏感信息,则存在漏洞,如果需要登录后才能访问,则漏洞不存在.(这里只是步骤说明)

修复建议:


免责声明:

严禁利用本文章中所提到的技术进行非法攻击,否则后果自负,上传者不承担任何责任。


验证码绕过测试:

测试原理和方法:

在正常的业务中,敏感功能的接口需要对访问者的身份进行验证,验证后才允许调用接口进行操作,如果敏感功能接口没有身份校验,那么攻击者无需登录或者验证即可调用接口进行操作,在安全测试中,我们可以使用 Burp Suite 作为 HTTP 代理,在登录状态下记录所有请求和响应的信息,筛选出敏感功能,返回敏感数据的请求,在未登录的情况下使用,浏览器访问对应敏感功能的请求,如果返回的数据与登录状态后的一致则存在漏洞或缺陷。


测试过程:

攻击者在测试前,使用 Burp Suite 的爬虫功能对网站进行爬取,通过 HIME Type 筛选出与接口相关的请求,对筛选后的每一个请求进行判断是否包含敏感信息,如果包含敏感信息,则复制请求URL到未进行登录的浏览器中进行访问,如果访问后返回之前的敏感信息,则存在漏洞。

第一步:在网站登陆后使用 Burp Suite 的爬虫功能,从重点关注的目录一般为网站根目录开始爬取,在 HTTP history 选项卡中选中要开始爬取的项,右键选择 “Spider from here” 爬取的结果会在 Target --> Site map 中显示,在爬取完毕后使用 Burp Suite 的  HIME Type 过滤功能筛选出接口相关的 HTTP 请求重点关注 json,script,xml,text MIME Type等.(这里只是步骤说明)


第二步:对接口相关的请求进行查看,查看响应中是否包含想要的敏感信息,如个人电话,IP地址,兴趣爱好,网站的浏览记录,身份证,手机号,地址等信息.(这里只是步骤说明)


第三步:将完整的请求 URL 复制到未登录的浏览器中,查看能否访问对应的 URL 的内容,如果能够返回敏感信息,则存在漏洞,如果需要登录后才能访问,则漏洞不存在.(这里只是步骤说明)


修复建议:

(1)采用 Token 校验的方式,在 URL 中添加一个 Token 参数,只有 Token 验证通过才返回接口数据且 Token 使用一次后失效。

(2)在接口被调用时,后端对会话状态进行验证,如果已经登陆,便返回接口数据;如果未登录,则返回自定义的错误信息。

   

    

学习的书籍:Web 攻防之业务安全实战指南.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/456576.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

火车站闸机web3d数字展示平台全方位动态呈现设备细节

智能互联网时代,传统的图片、文字、视频等产品展示方式,因为缺少互动性,很难引起用户的兴趣,已经逐渐失去了宣传优势。 Web3D交互展示技术的出现,让众多品牌和企业找到了新的方向,线上产品展示不在枯燥无趣…

少儿编程 中国电子学会图形化编程等级考试Scratch编程一级真题解析(选择题)2023年3月

2023年3月scratch编程等级考试一级真题 选择题(共25题,每题2分,共50分) 1、下列说法不正确的是 A、可以从声音库中随机导入声音 B、可以录制自己的声音上传 C、可以修改声音的大小 D、不能修改声音的速度 答案:D…

计算机网络第1章(概述)

文章目录 1.1、计算机网络在信息时代的作用1.2、因特网概述1、网络、互连网(互联网)和因特网2、因特网发展的三个阶段3、因特网的标准化工作4、因特网的组成 1.3 三种交换方式1、电路交换(Circuit Switching)2、分组交换&#xff…

Composer使用教程

Composer使用教程 前言1.Composer 简介2. 下载与安装2.1 局部安装2.2 全局安装2.3 更新composer2.4查看composer2.5 安装composer镜像加速 3. composer的使用3.1初始化3.2安装第三方包 4. 自动加载器4.1 加载非 class 文件4.2 加载自己写 class 文件4.3 PSR-4 自动加载规范 5. …

【脱产二站上岸】上海交大819复习经验总结

笔者来自通信考研小马哥23上交819全程班学员 本科西南某985,成绩排名中下(面试被老师疯狂吐槽),一战本校,初试分数差10来分被刷。21年12月考完数学和专业课出来就知道考不上了,分数一出就下决心二战&#…

软件测试,想找一份20k以上的工作需要掌握哪些知识?

都知道IT行业是高薪人员的聚集地,但想要成为高薪程序员却并不容易。月薪20k是测试工程师的一个门槛,想要突破就必须掌握更多的技能。 因为程序员职业发展很快,即使是相同起点的人,经过几年的工作或学习,会迅速拉开极…

Python列表和字典前面为什么要加星号(**)?

人生苦短,我用python 今天来和大家一起学习一下为什么Python列表和字典前面会加星号()?** python 安装包资料:点击此处跳转文末名片获取 Python 中, 单星号*和双星号**除了作为“乘”和“幂”的数值运算符外&#xff…

【python的pdb调试简单了解一下?】

调试是程序开发过程中的重要环节,它可以帮助开发人员识别和解决程序中的错误和问题。Python 提供了一个内置的调试器 pdb(Python Debugger),可以帮助开发人员逐行分析代码、查看变量值、跟踪函数调用等。 入门 要使用 pdb 调试器…

Numpy从入门到精通——存读矩阵以及读取矩阵中的数据

这个专栏名为《Numpy从入门到精通》,顾名思义,是记录自己学习numpy的学习过程,也方便自己之后复盘!为深度学习的进一步学习奠定基础!希望能给大家带来帮助,爱睡觉的咋祝您生活愉快! 这一篇介绍《…

c#期末复习题重点难点题

2. (单选题, 9分)在.NET中,.NET Framework由( )组成。 A. FCL和CLR -开发库和运行环境B. ADO.NETASP.NET -数据操作和web框架C. CLS和CTS -语法规范和类型规范 即所有语言和语法规范 和 各语言间的类型互操作性规范D. Winform和ASP.NET…

2023前端面试上岸手册——JavaScript部分

目录 JavaScript 有哪些数据类型,它们的区别?数据类型检测的方式有哪些null 和undefined 区别如何获取安全的 undefined 值?Object.is() 与比较操作符 “两等” 、“三等” 的区别?什么是 JavaScript 中的包装类型?为什…

盘点:这些好用的ERP软件你知道哪些?

在选择ERP系统时,我们可以按照这三个维度,然后再按照需求去选择ERP系统。 市面上ERP软件大概可以分为三大类: ① 标准ERP应用:功能比较固定,难以满足个性化需求,二次开发难度很高; ② 找外包/…

校企合作 | 璞华×中南财经政法大学,共建教学实习(就业实践)基地

4月17日,璞华集团与中南财经政法大学举行校外教学实习基地签约及挂牌仪式,揭开校企产学研合作序幕。 中南财经政法大学统计与数学学院院长张虎先生、统计与数学学院党委书记&副院长梁娜女士、统计与数学学院院党委副书记&纪委书记王瑄女士、外国…

酒店行业,BI分析关注哪些指标

酒店作为企业商旅系统中相关酒店业务实现的基础核心部分,会接入大量不同类型的供应商,从这些供应商拉取大量的酒店数据,并对这些数据进行整合。 信息化建设确实帮助酒店行业提高了管理水平,更好地实现资源共享。但同时管理需求日…

自然语言处理基本任务综述

文章目录 1.多语言分词2.词性标注3.命名实体识别4.中心词提取5.依存句法分析6.文本纠错7.文本摘要8.文本相似度9.情感分析10.文本分类11.词向量 1.多语言分词 ​ 在自然语言处理中,分词(Tokenization)是指将自然语言文本中的连续字符序列划分…

前端性能优化点--防抖节流

防抖debounce 防抖函数指的是某个函数在某段时间内,无论触发了多少次回调,都只执行最后一次。 假如我们设置了一个等待时间 3 秒的函数,在这 3 秒内如果遇到函数调用请求就重新计时 3 秒,直至新的 3 秒内没有函数调用请求&#x…

关于package.json中版本锁定的方法和问题解决

前置知识:先了解一下package.json和package-lock.json的关系和区别,请看这篇文章 然后我们来说一下改怎么锁定版本? 首先肯定是要把package.json中的 ^ 这个符号去掉,但是如果你只去掉package.json中的 ^那就太天真了&#xff0…

ESP32的VSPI和HSPI

说明 SPI共有4根线,MOSI、MISO、CS、CLK,在ESP32中对应规则如下表: ESP32共有4个SPI,但是用户能够使用的只有2个SPI,分为VSPI和HSPI。 引脚接口 在ESP32的数据手册中,说明了VSPI和HSPI对应的引脚&…

薪资结构重铸: Zebec将业务范围扩大到Web2薪资管理领域

通过收购美国支付公司PayBridge,Zebec的流支付技术正在扩展到企业级薪酬发放平台。 近日,流支付协议Zebec Protocol宣布,其通过美国投资机构Payroll Growth Partners(PGP)收购了Web2薪酬管理公司PayBridge。PayBridge总…

和月薪5W的阿里程序员聊过后,才知道自己一直在打杂...

前几天和一个朋友聊面试,他说上个月同时拿到了腾讯和阿里的offer,最后选择了阿里。 阿里内部将员工一共分为了14个等级,P6是资深工程师,P7是技术专家。 其中P6和P7就是一个分水岭了,P6是最接近P7的不持股员工&#x…