写在前面

这篇文章是关于作者在学习PortSwigger的API Test类型漏洞时的记录和学习笔记
使用到的工具为Burp Suite Pro

漏洞简介

什么是api

API全称为Application Interface，是应用程序对外提供功能的接口，现在主要有三种api风格，分别是JSON风格的api，RESTful风格的api以及Graphic风格的api

JSON风格

请求获取用户信息

POST /api/getUser HTTP/1.1
Host: example.com
Content-Type: application/json

{
  "userId": 1
}

RESTful风格

请求获取用户信息

GET /api/users/1 HTTP/1.1
Host: example.com

请求修改用户信息

POST /api/users HTTP/1.1
Host: example.com
Content-Type: application/json

{
  "name": "Jane Doe",
  "email": "jane.doe@example.com"
}

Graphic风格

请求获取用户信息

POST /graphql HTTP/1.1
Host: example.com
Content-Type: application/json

{
  "query": "{ user(id: 1) { id, name, email } }"
}

API测试是什么

API测试这种漏洞主要包含了对开放api期望运行逻辑的破坏以及对未开放的api的检测和调用，导致的危害可能有敏感信息泄露，应用行为被改变等
这篇文章主要讨论JSON和RESTful APIs
当你在测试一个api的时候，关注下面这些点：

• api接收并处理的数据，包括必需的和可选的

• api接受的请求类型，包括请求方法和media formats

• 速率限制和认证机制

和api交互

使用不同的请求方法

HTTP1.0定义了三种请求方法： GET、POST、HEAD

• GET方法请求一个指定资源的表示形式，使用 GET的请求应该只被用于获取数据。

• HEAD方法请求一个与 GET请求的响应相同的响应，但没有响应体。

• POST方法用于将实体提交到指定的资源，通常导致在服务器上的状态变化或副作用。
  HTTP1.1新增了六种请求方法：OPTIONS、PUT、DELETE、TRACE 、CONNECT、PATCH

• OPTIONS方法用于描述目标资源的通信选项。

• PUT方法用有效载荷请求替换目标资源的所有当前表示。

• DELETE方法删除指定的资源。

• TRACE方法沿着到目标资源的路径执行一个消息环回测试。

• CONNECT方法建立一个到由目标资源标识的服务器的隧道。

• PATCH方法用于对资源应用部分修改。

使用不同的Content-Type

以下是最常使用的10种Content-Type
application/json

• 用途：用于 JSON 格式的数据传输，常用于 RESTful API。
  text/html

• 用途：用于 HTML 格式的数据传输，常用于 Web 页面响应。
  application/x-www-form-urlencoded

• 用途：用于 HTML 表单提交的编码方式，将表单数据编码为键值对。
  multipart/form-data

• 用途：用于文件上传表单的编码方式，允许同时上传文件和其他数据。
  text/plain

• 用途：用于纯文本数据传输，没有特殊的格式化要求。
  application/xml

• 用途：用于 XML 格式的数据传输。
  application/javascript

• 用途：用于传输 JavaScript 代码。
  application/octet-stream

• 用途：用于传输二进制数据，不指定特定的文件格式，通常用于文件下载。
  image/jpeg

• 用途：用于传输 JPEG 格式的图像文件。
  image/png

• 用途：用于传输 PNG 格式的图像文件。

Labs

lab1

lab地址：Exploiting an API endpoint using documentation
这个lab是最基础的，通关条件是删除用户carlos的账户
登陆网站，尝试发现的所有功能，然后观察burpsuite的HTTP History，发现一个方法为PATCH的请求，api端点为/api/user/wiener，直接尝试修改http请求方法为delete，对用户carlos进行请求

lab2

lab地址：Exploiting server-side parameter pollution in a query string
这一个lab关注的点是请求字符串中的参数污染，通关条件是登陆administrator的账户，删除carlos账户
惯例先进行所有的操作，观察burpsuite的http history
将/fogot-password的post请求发送到repeater研究



将请求发送到intruder模块对field参数的值进行爆破

爆破显示正确的结果

将field的值设置为email发送原post请求，发现响应和没有设置field一样，再去http history查看有没有其他可能的值
发现GET /static/js/forgotPassword.js，js文件内容如下

let forgotPwdReady = (callback) => {
    if (document.readyState !== "loading") callback();
    else document.addEventListener("DOMContentLoaded", callback);
}

function urlencodeFormData(fd){
    let s = '';
    function encode(s){ return encodeURIComponent(s).replace(/%20/g,'+'); }
    for(let pair of fd.entries()){
        if(typeof pair[1]=='string'){
            s += (s?'&':'') + encode(pair[0])+'='+encode(pair[1]);
        }
    }
    return s;
}

const validateInputsAndCreateMsg = () => {
    try {
        const forgotPasswordError = document.getElementById("forgot-password-error");
        forgotPasswordError.textContent = "";
        const forgotPasswordForm = document.getElementById("forgot-password-form");
        const usernameInput = document.getElementsByName("username").item(0);
        if (usernameInput && !usernameInput.checkValidity()) {
            usernameInput.reportValidity();
            return;
        }
        const formData = new FormData(forgotPasswordForm);
        const config = {
            method: "POST",
            headers: {
                "Content-Type": "x-www-form-urlencoded",
            },
            body: urlencodeFormData(formData)
        };
        fetch(window.location.pathname, config)
            .then(response => response.json())
            .then(jsonResponse => {
                if (!jsonResponse.hasOwnProperty("result"))
                {
                    forgotPasswordError.textContent = "Invalid username";
                }
                else
                {
                    forgotPasswordError.textContent = `Please check your email: "${jsonResponse.result}"`;
                    forgotPasswordForm.className = "";
                    forgotPasswordForm.style.display = "none";
                }
            })
            .catch(err => {
                forgotPasswordError.textContent = "Invalid username";
            });
    } catch (error) {
        console.error("Unexpected Error:", error);
    }
}

const displayMsg = (e) => {
    e.preventDefault();
    validateInputsAndCreateMsg(e);
};

forgotPwdReady(() => {
    const queryString = window.location.search;
    const urlParams = new URLSearchParams(queryString);
    const resetToken = urlParams.get('reset-token');
    if (resetToken)
    {
        window.location.href = `/forgot-password?reset_token=${resetToken}`;
    }
    else
    {
        const forgotPasswordBtn = document.getElementById("forgot-password-btn");
        forgotPasswordBtn.addEventListener("click", displayMsg);
    }
});

最关键的一段代码是：

forgotPwdReady(() => {
    const queryString = window.location.search;
    const urlParams = new URLSearchParams(queryString);
    const resetToken = urlParams.get('reset-token');
    if (resetToken)
    {
        window.location.href = `/forgot-password?reset_token=${resetToken}`;
    }
    else
    {
        const forgotPasswordBtn = document.getElementById("forgot-password-btn");
        forgotPasswordBtn.addEventListener("click", displayMsg);
    }
});

代码中涉及一个参数reset_token，尝试将field这只为reset_token，发现响应变化了

根据/forgot-password?reset_token=${resetToken}，重新构建get请求

然后就是设置新密码，删除carlos账户

lab3

lab地址：Finding and exploiting an unused API endpoint
这个lab关注的点是发现和测试未使用的api端点，通关条件是购买一件商品
进去先尝试所有功能，发现无法充值，余额为0，我的思路是将商品价格修改或绕过付款流程
观察brupsuite的http history，发现：GET /api/products/1/price HTTP/2，发送到repeater研究
先修改http方法为OPTION，发现允许get和patch方法

构建patch方法的请求

构造指定格式的数据，数据是猜测的，但是比较好猜

之后就可以零元购，通关了

lab4

lab地址：Exploiting a mass assignment vulnerability
这个lab关注批量赋值漏洞，通关条件是购买一件商品，还是之前的思路
按惯例先尝试所有功能，然后查看burpsuite的http history
发现两个有意思的请求：POST /api/checkout HTTP/2和GET /api/checkout HTTP/2
点击付款按钮时会先发送POST请求，数据为购买的商品的列表，包括商品id和数量

{"chosen_products":[{"product_id":"1","quantity":1}]}

GET请求则会返回该次交易的相关信息，如下图：

第一个尝试还是先修改商品的价格，发现没有成功

然后修改代表折扣的字段，发送请求后就直接成功购买了

lab5

lab地址：Exploiting server-side parameter pollution in a REST URL
这个lab和lab2的思路是一样的，关注的重点在改变服务端请求的行为，但是多了许多防御措施，需要更多技巧结合，通关条件和lab2一样
先使用lab2用过的测试技巧，测试后推测服务端请求可能把username内容放在url的路径部分



构造username为：./administrator


读取配置文件，发现url路径：/api/api/internal/v1/users/{username}/field/{field}

将username参数改为administrator/field/x%23，试图重写field

同lab2一样，查看GET /static/js/forgotPassword.js

构造username为：administrator/field/passwordResetToken%23

通过路径遍历进行指定版本

构造get请求发送

然后修改密码，删除carlos账户，通关

如何防御API导致的漏洞

首先，最好从开始设计系统时就考虑安全因素
其次，最好遵守下列准则

• 如果不想你的api被公开地访问，保管好你的文档

• 确保你的文档足够全面，允许合法测试人员收集全面的攻击面

• 设置允许接受的http方法

• 验证收到的请求或响应是期望的格式

• 使用普遍的报错信息以避免泄露有价值的信息

• 对所有版本的api设置防御措施，而不仅仅是当前主要版本

• 将用户可以修改的属性列入白名单，用户不能修改的敏感属性列入黑名单