ソース:
脆弱性:403バイパス
訳:
1. イントロ
上の脆弱性の発見と悪用について概説します このレポートでは、 redacted.com 。
NDAがあるため、会社名は非公開にしなければなりません。
この脆弱性により、403 Forbidden ステータス コードのバイパスが可能になり、秘密 API キーへのアクセスが許可され。
このレポートは、調査結果とその後に講じられた措置を詳細に説明することを目的として。
2. 背景
Burp Suite を使用して編集された Web サイトの機能を徹底的に分析する一方で、パス トラバーサルの脆弱性が存在する可能性を調査することにし。
ディレクトリ トラバーサルとも呼ばれるパストラバーサルは、Web ルート フォルダーの外側にあるファイルやディレクトリにアクセスしようとする攻撃手法です。 攻撃者は、「../」や絶対ファイル パスなどの特定の文字シーケンスを使用してファイルを参照する変数を操作することにより、アプリケーションのソース コード、構成ファイル、さらには重要なシステム ファイルなどの機密ファイルに不正にアクセスする可能性があります。 — オワスプ
3. 発見
分析中にパス トラバーサルの脆弱性を特定できませんでしたが、Web サイトの構造内に興味深いエンドポイント「/API/V2/」を発見し。
潜在的な脆弱性を発見できる可能性に興味をそそられ、URL から「/v2/」セグメントを削除してエンドポイントにアクセスしようとし。
驚くべきことに、このアクションにより、サードパーティ サービスの API ドキュメントを含むページにリダイレクトされ。
4. 初期アクセス
拒否 API ドキュメント ページにアクセスすると、アクセスが制限されていることを示す 403 Forbidden ステータス コードを受け取り。
私はひるむことなく、セキュリティ上の弱点が悪用される可能性があるかどうかを判断するために調査と実験を続け。
5. 403 禁断のバイパス
調査中に、エンドポイントを URL エンコードしてみることに。
この技術には、Web サーバーによる適切な送信と解釈を保証するために、URL 内の特殊文字をエンコードすることが含まれます。
エンドポイントに URL エンコードを適用すると、403 Forbidden ページが正常にバイパスされ、以前は制限されていた API ドキュメントへのアクセスが許可されることがわかりました。
6. 秘密 API キーの漏洩
APIキーとは何ですか? アプリケーションプログラミング インターフェイス (API) キーは、アプリケーションまたはユーザーを識別および認証するために使用されるコードです。 これらは、プログラム間で行われるリクエスト、それらのリクエストが行われる方法、および使用されるデータ形式を制御します。
403 Forbidden バイパスが完了すると、burpの応答に秘密の API キーが含まれていることに気づき。
このキーは、当初は隠蔽される予定でしたが、脆弱性により誤って公開されて。
私は責任を持って行動し、この情報を悪用したり、権限のない当事者に開示したりしなかったことに留意することが重要で。
ほなほな。
