3. 漏洞复测系列 -- 利用不安全API进行账号枚举并爆破密码登录

本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。


初学者,暂时只知道以 wdsl 的web服务接口,可适用这种方法,如有,如有更好的,或者接口测试的,请留言告知,多谢了…)

一、漏洞描述:

所用工具:AWVS、Burp suit

利用 awvs 中的web services Editor 的功能。

利用SOAP的getOrgCodeByUserName方法,可以绕过前台的验证码进行批量用户名猜解,随后用loginByChannnelCode方法,可以进行账号密码的爆破,这里就绕过了网页验证码的闲置。

二、漏洞验证

1. 利用 AWVS 扫描

利用 AWVS 扫描,发现可能有这个漏洞,于是利用 AWVS 的 Web Services Editor 开始复测

  1. 经测试发现,利用SOAP的getOrgCodeByUserName方法,可以绕过前台的验证码,利用 Burp 进行批量用户名猜解。
    经猜解发现 存在 lilong 这个用户
    3. 漏洞复测系列 -- 利用不安全API进行账号枚举并爆破密码登录_第1张图片
  2. 随后用loginByChannnelCode方法,可以进行账号密码的爆破,这里就绕过了网页验证码的闲置。
    3. 漏洞复测系列 -- 利用不安全API进行账号枚举并爆破密码登录_第2张图片利用 Burp suit 可进行爆破用户名和密码
    3. 漏洞复测系列 -- 利用不安全API进行账号枚举并爆破密码登录_第3张图片

三、修复建议

重构API后端,对关键方法调用进行审查控制。
(说实话,怎么重构我也不懂,如有知道的大佬,请留言告知,多谢)

你可能感兴趣的:(漏洞验证系列)