高级API漏洞挖掘

🔥 4步API测试方法论

使用场景：漏洞赏金与API安全测试

1️⃣ 发现敏感API端点

常见泄露敏感数据的目标端点：

• 用户PII（邮箱、电话号码、地址）
• 金融数据（交易记录、余额）
• 认证令牌和会话数据
• 内部系统信息
• 用户端点中的管理员级数据

常见敏感端点：

1
2
3
4
5
6

/api/v1/users/[ID]/
/api/admin/config
/api/internal/metrics
/api/orders/[ID]/
/api/transactions
/api/profile/private

2️⃣ 缓存头分析

检查响应头中的缓存指示器：

1
2
3
4
5
6

Cache-Control: public, max-age=3600 ← 已缓存
CF-Cache-Status: HIT ← Cloudflare缓存
X-Cache: HIT ← 通用缓存命中
Age: 300 ← 缓存5分钟
ETag: "abc123" ← 缓存验证实体标签
Via: 1.1 varnish ← 代理缓存

如果已缓存 → 尝试Web缓存欺骗：

• 合法路径：/api/users/me/profile
• 欺骗路径：/api/users/me/profile.css
• 欺骗路径：/api/users/me/profile/

3️⃣ HTTP方法切换

通过方法切换绕过认证/验证。示例：

• GET /api/admin/users → 403禁止访问
• POST /api/admin/users → 200 OK + 用户列表
• GET /api/config → 404未找到
• HEAD /api/config → 200 OK
• POST /api/search → 403禁止访问
• PUT /api/search → 200 OK + 结果

4️⃣ 基于数组的IDOR测试

当发现/api/users/123时测试这些数组/IDOR模式：

1
2
3
4
5
6
7

/api/users/[123,124]
/api/users/123,124
/api/users/123&124
/api/users/?id[]=123&id[]=124
/api/users/?ids=123,124
/api/users/?user_ids=123,124
/api/batch/users?ids=123,124

🎯 真实世界攻击链（示例）

1. 发现端点 /api/v1/users/456
2. 检查头部 → X-Cache: HIT, max-age=300
3. 将GET改为POST → 绕过速率限制
4. 测试数组IDOR → /api/v1/users/[456,457,458]
5. 结果：大规模用户数据泄露 + 缓存响应

🛡️ 防御建议

• 一致性授权 — 对所有HTTP方法应用相同的检查
• 输入验证 — 除非明确允许，否则拒绝数组参数
• 缓存控制 — 对敏感数据使用Cache-Control: private
• API模式执行 — 根据OpenAPI规范进行验证
• 审计日志 — 监控异常参数模式

💡 专业测试技巧

• 使用Burp的"Change Request Method"扩展
• 使用katana或ffuf等工具自动化端点发现
• 始终测试认证和未认证的上下文
• 结合技术（缓存分析+方法变更+IDOR）以获得最大效果

🔔 关注@cybersecplayground获取高级API黑客技术！

如果通过本文找到了第一个IDOR漏洞，请点赞和分享！💰

#APISecurity #BugBounty #IDOR #WebCacheDeception #CyberSecurity #APITesting #Hacking #SecurityResearch