referer校验不严+cors跨域+API泄露身份令牌组合拳

前言：太棒了 学到许多

文章转载：https://www.t00ls.net/articles-54742.html

1、发现有一处名为 getToken 的 API，当对此处 API 发起请求之时，服务端会将当前用户的 Token 通过响应返回回来，但是在我对其它类似用户功能的端点进行的时候，服务端对Referer的校验异常严格，可唯独落下了最重要的这处端点 -> getToken

服务端通过Authorization 请求头与Cookie 请求头进行鉴权，Authorization 和 Cookie 中的 Token字段一模一样

本已不报什么期望的我修改了Referer，删掉了Authorization，再次请求，发现响应报文中返回了 Token 。该Token就是用户鉴权的关键信息，只要获取了这个值就可以直接接管账户权限;我尝试修改Origin头部为自己的服务器地址，发现响应头Access-Control-Allow-Origin的值成功返回了我所设置的服务器地址，那这里也就存在着一个安全风险: CORS跨域获取用户Token->账户接管。

而后，通过拿到的 Token 的尝试对受害者用户进行测试发现，可以绕过二次登录验证，用户无法改变Token的值，登出操作也不会做出修改（此处存在一个潜在的安全风险: 用户Token固定），也就是说，拿到的Token 可以永久性的操作用户。

总结： 服务端并未校验此处端点的 Referer Header, 且 服务端 CORS配置错误，当对 getToken 端点发起请求，Response 返回了当前用户了Token , Token 作为交易所用户的唯一凭证，利害不用多说，此处即会产生账户接管问题