参透测试(1):普通权限弱口令/弱加密方式/未授权访问
参透测试(1):普通权限弱口令/弱加密方式/未授权访问
1、普通权限弱口令
1.1、用户权限-用户管理-添加用户
https://xx.xx.xx.xx/xx/v1/xx/add
登录账号admin,添加用户,可以使用弱密码
1.2、用户权限-用户管理-修改密码
https://xx.xx.xx.xx/xx/v1/user/updateUserPassword
修改密码接口。可以通过接口绕过前端检测,改成弱密码
2、脆弱的加密方式
2.1、用户权限-用户管理-添加用户
https://xx.xx.xx.xx/xx/v1/xx/add
添加用户接口,密码传输过程未加密
2.2、用户权限-用户管理-修改密码
https://xx.xx.xx.xx/xx/v1/user/updateUserPassword
修改密码接口传输过程中,未加密密码
3、未授权访问的接口和API接口文档
3.1、未授权直接访问的接口
去除登录认证后,可以调用接口
https://xx.xx.xx.xx/xx/v2/xx/xx
3.2、未授权可以访问的API接口文档
api-docs文档
https://xx.xx.xx.33/xx/v3;/api-docs
