DEV Community
·
从调试模式开启到通过功能级别授权漏洞泄露个人身份信息
💡
原文英文,约200词,阅读约需1分钟。
📝
内容提要
在分析应用的认证流程时,发现一个未被注意的子域名API,该API使用Django REST Framework,调试模式开启,部分端点暴露。通过/swagger路由获取组织信息时,发现“id”参数为不可预测的大数字。省略“id”参数发送请求后,竟然返回所有组织的信息,暴露了功能级别授权的漏洞。
🎯
关键要点
- 在分析应用的认证流程时,发现一个未被注意的子域名API。
- 该API使用Django REST Framework,调试模式开启,部分端点暴露。
- 通过/swagger路由获取组织信息时,发现'id'参数为不可预测的大数字。
- 省略'id'参数发送请求后,竟然返回所有组织的信息。
- 暴露了功能级别授权的漏洞,未进行任何身份验证即可访问所有组织的数据。
🏷️
标签
➡️
