文章总结： 本文系统讲解API漏洞赏金实战方法，重点介绍通过被动侦察（历史URL/JS泄露/文档泄露）和主动枚举（路由暴力破解/参数发现）寻找隐藏端点，并详细演示批量赋值漏洞的利用技巧，包括如何通过注入敏感字段（如role、is_admin）提升权限，最终实现高价值漏洞挖掘。 综合评分： 87 文章分类： 渗透测试,WEB安全,漏洞分析,红队,实战经验

响应（200 OK，成功）：

{"status": "success","user": {"id": 12345,"email": "[email protected]","bio": "I like hacking APIs","avatar_url": "https://example.com/myphoto.jpg","phone": "+1-555-123-4567","preferred_language": "en","role": "user",           // ← this field exists but frontend never lets you change it"is_verified": true  }}

主要观察结果：

• 后端返回的字段比您发送的要多（例如角色、是否已验证等）。
• 这暗示了端点映射的流程：请求体 → 用户对象 → 保存 → 返回该对象。

3. 添加额外/敏感字段（注入）

将请求复制到Repeater（或新的 curl 标签页）。

修改请求——将您的批量赋值有效负载附加到 JSON 对象末尾：

{  "bio": "I like hacking APIs",  "avatar_url": "https://example.com/myphoto.jpg",  "phone": "+1-555-123-4567",  "preferred_language": "en",  "is_admin": true,  "role": "superadmin",  "access_level": 999,  "admin": 1,  "privilege": "god",  "is_superadmin": true,  "permissions": ["admin", "delete_users", "view_all_data"]}

可以尝试的重要变体（绕过弱滤波器）：

• 大小写技巧：“IsAdmin”: true, “ROLE”: “ADMIN”, “isAdmin”: “true”
• 嵌套对象：“权限”：{“admin”：true}，“角色”：{“name”：“admin”}
• 数值型：“角色”：1，“访问级别”：“9999”
• 数组：“roles”: [“user”, “admin”, “superadmin”]
• 布尔值（字符串/数字）：“is_admin”：“1”，“is_admin”：1

发送请求。

4. 观察并确认漏洞

留意以下成功迹象：

• HTTP 状态码= 200/201/204（无 400/422“未知字段”错误）
• 响应体将您注入的值回显出来：

{ "user" : {     ..., "role" : "superadmin" , ← jackpot "is_admin" : true , "access_level" : 999  } }

• 静默成功（最常见）：响应看起来正常，但权限已更改。
• 退出登录 → 重新登录
• 访问受保护的端点：/api/admin/users、/api/dashboard/stats、/api/delete-account（尝试删除其他人的帐户）
• 检查用户界面：是否出现新的管理员菜单？是否可以列出所有用户？是否可以冒充其他用户？
• 重新获取您的个人资料：GET /api/v1/profile 或 GET /api/me → 查看角色是否已更改

如果没有任何可见内容 → 请尝试其他操作：

• 创建包含注入字段的新资源（例如团队/项目）
• 如果您现在可以访问，请检查审计日志/其他用户的数据。

5. 扩大影响范围（证明业务受损）

• 权限提升：普通用户 → 管理员/超级管理员
• 账户接管：如果启用了 IDOR 和批量分配功能，则将另一个用户的个人资料上的“密码”设置为“hacked123”。
• 数据操作：在计费端点中设置“余额”：999999
• 功能绕过：“is_premium”: true, “subscription_status”: “lifetime”
• 大规模影响：注册 10 个角色为“管理员”的账号 → 瞬间拥有一支管理员大军

第四阶段——漏洞测试（OWASP API Top 10 2023 重点——2026 年依然是王者）

• API1 — 损坏对象级身份验证 (BOLA / IDOR)

交换 ID ( user/123 → user/456) → 检查对其他用户数据的访问权限。

• API2 — 身份验证

JWTnone算法损坏、密钥弱、令牌重用、标头欺骗（X-Forwarded-*）。

• API3 — 对象属性身份验证损坏，

是否返回了额外的敏感字段？（email，ssn在/profile）。

• API4 — 无限制的资源消耗项/页面，大量的 GraphQL 查询，无速率限制。

100000

• API5 — 功能级别身份验证损坏，

普通用户调用/admin/delete-user。

• API6 — 无限制访问敏感业务流程，包括

优惠券垃圾邮件、投票操纵和竞态条件。

• API7 — 服务器端请求伪造 (SSRF)，内部端口探测。

webhook?url=169.254.169.254

• API8 — 安全配置错误

暴露执行器，，，debug=true详细CORS *的错误消息。

• API9 — 库存管理不当，

僵尸端点（旧版本仍然存在）。

• API10 — 不安全的 API 使用：

通过第三方 API 调用进行 SSRF 攻击，在转发的用户输入中注入攻击。

2026 年高回报连锁店：

• 隐藏的管理员端点（无需身份验证）→ 批量分配 → 成为管理员 → 账户接管
• Shadow /v2 端点 → BOLA + 过量数据 → 泄露所有用户的个人身份信息
• 调试参数 → 详细错误信息 → 泄露内部端点 → SSRF → 元数据

第五阶段——GraphQL 细节（2026 年将非常普遍）

1. 查找端点：/graphql、/api/graphql、/gql

2. 内省（即使是部分内省）：

curl -XPOST -H" Content -Type: application/json" -- data  '{"query":"{__schema{types{name}}}"}' https://target.com/graphql

3. 如果被阻塞 → 使用Clairvoyance 或通过graphql-path-enum暴力搜索字段

4. 批量执行大量查询以绕过限制

5. 查找 __typename 和片段以泄露模式

第六阶段——自动化与验证

• Nuclei API 模板

nuclei-l kr-hidden.txt -t http/api/ -severity medium,high,critical -o api-nuc.txt
nuclei-l noauth-endpoints.txt -t http/api/ -severity medium,high,critical -o api-nuc.txt
nuclei-l js-endpoints.txt-t http/api/ -severity medium,high,critical -o api-nuc.txt

• Burp Repeater 手动 PoC → 记录步骤和影响
• 截图保存所有内容

第七阶段——报告（使其发挥作用）

结构：

1. 标题：【严重】未公开的管理员 API 允许批量分配 → 完全接管账户
2. 重现步骤（已编号，包含请求/响应）
3. 影响：业务逻辑绕过 → 权限提升 → 数据窃取/远程代码执行风险
4. 根本原因：隐藏端点 + 无服务器端身份验证检查
5. 建议：移除/弃用影子端点，强制执行严格的允许列表。
6. 如果潜在收益超过 1 万美元，请提供截图和视频。

合理的赏金：

• 隐藏终点 + BOLA → 4000 美元至 12000 美元
• 通过批量分配绕过管理员权限 → 1万至3万美元以上
• 通过影子 API 泄露个人身份信息 → 损失 8000 美元至 25000 美元

最后提示

• 关注业务逻辑> 自动化扫描器
• 连锁小问题（403 端点 + 参数模糊测试 → 200 接管）
• 每月更新单词列表（SecLists + 来自以往狩猎活动的自定义单词列表）
• 练习对象：vAPI、crAPI、Damn Vulnerable API、公共程序（HackerOne披露的报告）
• 恪守职业道德——仅在测试范围内进行测试，禁止破坏性测试。

这种方法将 API 漏洞挖掘从“漫无目的地搜索”转变为目标明确、回报丰厚的工作。从小处着手（例如一个子域名），掌握 JS → 端点提取，然后模糊测试参数/方法——70% 以上的大型 API 漏洞都隐藏在这里。

祝你好运，找到你的第一个 API 错误报告后，请在评论区留下！

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《API漏洞赏金大师班2026：寻找隐藏端点》