簡介 :

REST API 是目前許多網頁應用程式會使用的 API 框架，一般上網頁提供的 API 莫非是讓使用者取得在特定格式內的資料。而 API 在權限限制上，非常重要。舉例而言，若有一位使用者登入自己的賬號，這時候後端便會判斷此賬號密碼是否正確，若正確的話才會利用一個認證機制通過 API 去提供前端該使用者的個人資料，換句話說，A 使用者的賬號密碼是無法透過同樣的 API 去取得 B 使用者的個人資料的。

日前，一名國外資安研究人員發現某約會網頁應用程式有 API 相關漏洞。以下是該資訊安全人員嘗試繞過的付費功能：

1.Unlimited Votes

2.Backtrack

3.Beeline

Unlimited Advanced Filtering

觸發漏洞 :

Unlimited Votes

其中有一隻 API 為 SERVER_ENCOUNTERS_VOTE，發現其中在向右滑動或是向左滑動的限制，其實只有在前端做檢查，並不會在 API Endpoint 做檢查。Request 如下圖：

 Vote 參數代表著

1.— 使用者沒投票

2.— 使用者往右滑動

3.— 使用者往左滑動

官方修補方式 :

以上四項都為付費功能，而其實利用 API 的漏洞，不用付費便可以達到相同的功能，是為在 API 的設計上的不當所產生的漏洞。該公司並沒有向相關資安人員提出任何聯絡，但部分觸發方式已經被防範

如需詳細資料，歡迎 Mail 索取