在常规安全评估期间,我发现了一个重大漏洞,该漏洞允许进行IP欺骗和地理位置信息泄露。以下是该漏洞的发现过程:
发现过程
第一步:目标识别 作为我标准侦察流程的一部分,我将该API端点添加到了Burp Suite的作用域中。目标是一个处理地理位置数据的云服务。
第二步:被动扫描 使用Burp Suite的爬虫功能,我对应用程序进行了初步扫描。爬虫自动发现了多个API端点,包括:
GET /v1.1/utility/geo/search HTTP/2
Host: api.serviceprovider.com
第三步:初步分析 CSD0tFqvECLokhw9aBeRqtcL1ENczmt9RGJprIZlqnlF5OkB8PrPXsxx4+N7i+e3YH2MjcYEBx/CCETMtfOW6SMAOQnhOfH1+rwEcB7G8+PpqAMshi7AqEAs9HBf+lkZbbeSt66nkMuOwYSV/ro0WRowRDdCYjOzM8Axdb+kKSLIMFZ50QITMbGX6yjWu3FS6zUVG+aY8QePsyhTubdV3Q==
