文章总结： 本文记录了作者在授权渗透测试中发现的一个API设计缺陷导致用户敏感信息泄露的案例。测试过程中通过分析登录接口发现无需参数的API竟返回随机用户身份信息，确认为开发逻辑缺陷。关键发现是系统在无校验机制下泄露敏感数据，建议开发中加强接口权限校验与数据返回逻辑审查。 综合评分： 82 文章分类： 渗透测试,漏洞分析,WEB安全,安全开发,应急响应

一次API设计缺陷导致的数据泄露

原创

pippybear pippybear

安全无界

2026年6月3日 09:30 上海

在小说阅读器读本章

去阅读

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

这是之前的一次授权渗透测试，拿出来分享主要是觉得这个漏洞挺有意思的，很意想不到，一个设计缺陷/逻辑缺陷导致系统用户敏感信息泄露，话不多说，直接开始正文。

开局依旧是一个登录系统，不过这次并没有注册接口，emmm，当然客户也并没有提供账号。

使用插件提取JS中的API接口进行分析，直接批量进行未授权访问/XFF绕过等尝试，很显然都没有得到自己想要的结果。

dirsearch跑了一波目录，也没有得到啥有用的信息，看来这次可能要颗粒无收啦，再试试忘记密码功能，发现这里的流程还挺完善的，修改响应包到达修改密码流程，发现最终提交时会二次校验验证码。

最后看来只剩下登录接口了，没有感情的按照流程进行一波撞库，emmmm，依旧没有撞到弱口令，正准备决定结束的时候，发现登录的时候存在这么一个API，最开始没有仔细看以为只是响应用户是否存在的API，后面仔细看了一下发现不简单，这咋还有身份信息呀。

而且仔细看了一下似乎request包也没有入参呀，带着好奇的想法，再次重放了几下，发现每一次结果都不一样，好家伙。

估摸着应该是开发大哥这里设计bug导致每次请求会响应随机用户信息，只能说好家伙了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全无界 pippybear pippybear《一次API设计缺陷导致的数据泄露》