API Unauthorized

0x01 漏洞描述

接口未授权访问，顾名思义在不进行请求授权的情况下，能够直接对相应的业务逻辑功能进行访问、操作等。通常是由于认证页面存在缺陷或者无认证、安全配置不当等导致的。

0x02 常见应用场景

最常见的应用场景为后台某些API接口在不登录系统的情况，直接请求对应的URI即可访问、操作该接口。

攻击者最常见的攻击途径主要有如下：

1. 通过目录扫描工具加载目录字典探测
2. 通过模糊测试URI中的参数进行探测
3. 通过前端静态文件，比如JS、webpack等查找

0x03 漏洞危害

• 攻击者可在没有认证的情况下直接操作对应的API接口，可直接被非法增删改次数据。
• 因为攻击是在未认证下进行的，所以后续无法通过定位用户进行异常排查。

0x04 修复建议

1. 对于后台接口，确保所有API接口先经过登录控制器。
2. 在验证用户身份权限前不进行任何数据的交互。