文章总结： 本文通过渗透测试案例演示API接口漏洞挖掘。通过删减请求路径并切换HTTP请求方式，成功探测到隐藏的API文档，进而利用文档信息构造请求，实现越权查看及删除用户数据。文章提供详细复现步骤，建议测试中谨慎处理危险操作，避免不可逆影响。 综合评分： 84 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验

【接口漏洞第二章第二节】漏洞挖掘手记：一个修改请求，让我拿到了系统的“后门钥匙”

原创

升斗安全XiuXiu

升斗安全

2026年1月3日 15:57 广东

【文章说明】

• 目的：本文内容仅为网络安全技术研究与教育目的而创作。
• 红线：严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
• 责任：任何对本文技术的滥用所引发的后果自负，与本公众号及作者无关。
• 免责：内容仅供参考，作者不对其准确性、完整性作任何担保。

阅读即代表您同意以上条款。

在上一节《【接口漏洞第二章第一节】API漏洞狩猎第一步：如何顺藤摸瓜挖出隐藏的接口文档》中，我们介绍了api文档的重要性以及它跟普通的路径发现之间都有什么区别。今天我们就结合实际的渗透测试案例，一步步给大家演示一下如何利用这块漏洞。

假设我们的目的是找到系统的api文档内容，并结合文档返回的内容来越权操作系统。

首先，使用自己注册的账号登录被测试的系统，并操作想修改密码、修改邮箱等相关可能会触发系统api接口的动作。这里发现在进行修改用户邮箱时，会请求api接口，具体如下：

这是一个找到api接口漏洞的一个切入口，我们将该接口发送至burpsuite的repeater中，并在repeater中尝试将该路径进行删减、修改请求方式等操作，查看系统的返回情况。

如下：直接删减一级目录后，系统会返回一些错误信息。

在删减到只有 /api/目录时,系统直接返回404，但这个时候并不能放弃，因为说明系统是有对这个路径进行响应的，我们对请求方式进行修改，直接使用 GET 请求进行测试

【patch 请求方式返回404】

【Get 请求方式返回了系统接口文档明细内容】

通过以上的探测，我们得到了系统api文档的详细内容，包括了请求的路径、请求方法、请求参数内容。这样我们就可以尝试直接构造api请求，并实现越权操作查看他人信息或是删除他人信息的高危动作了。

根据文档响应，构造具体如下的请求即可：

• GET /api/user/carlos
• DELETE /api/user/carlos

【当前登录用户为wiener，但可以直接通过api接口请求并查看用户carlos的信息】

【当前用户为普通用户，却可以直接通过泄露的api文档执行删除用户的操作】

需要注意的是，当在实际环境中，如果遇到了delete方法，一定要先报备再进行测试，或是只对自己生成的数据进行删除操作。避免对系统造成不可逆的影响。

好了，以上就是这次手记的全部内容，对API接口漏洞《接口之下：漏洞猎人的黑暗森林法则》感兴趣并想系统学习的小伙伴，欢迎点赞、分享、关注~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：升斗安全 升斗安全XiuXiu《【接口漏洞第二章第二节】漏洞挖掘手记：一个修改请求，让我拿到了系统的“后门钥匙”》