3. 漏洞复测系列 -- 利用不安全API进行账号枚举并爆破密码登录

本系列文章旨在对于有一定网络安全基础的人员，在日常工作中扫描出来的各种漏洞，如何进行验证，以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。

---

初学者，暂时只知道以 wdsl 的web服务接口，可适用这种方法，如有，如有更好的，或者接口测试的，请留言告知，多谢了…）

一、漏洞描述：

所用工具：AWVS、Burp suit

利用 awvs 中的web services Editor 的功能。

利用SOAP的getOrgCodeByUserName方法，可以绕过前台的验证码进行批量用户名猜解，随后用loginByChannnelCode方法，可以进行账号密码的爆破，这里就绕过了网页验证码的闲置。

二、漏洞验证

1. 利用 AWVS 扫描

利用 AWVS 扫描，发现可能有这个漏洞，于是利用 AWVS 的 Web Services Editor 开始复测

1. 经测试发现，利用SOAP的getOrgCodeByUserName方法，可以绕过前台的验证码，利用 Burp 进行批量用户名猜解。
   经猜解发现 存在 lilong 这个用户
   
2. 随后用loginByChannnelCode方法，可以进行账号密码的爆破，这里就绕过了网页验证码的闲置。
   利用 Burp suit 可进行爆破用户名和密码
   

三、修复建议

重构API后端，对关键方法调用进行审查控制。
（说实话，怎么重构我也不懂，如有知道的大佬，请留言告知，多谢）