📝 漏洞描述
/api/stats 接口无需登录即可访问,直接返回系统统计数据,包括成员数量、部门数量、运营年数等敏感信息。
🔍 复现步骤
2
直接访问以下URL:
https://linzhong-members.pages.dev/api/stats
✅ 预期结果
{
"success": true,
"data": {
"members": 10,
"departments": 5,
"years": 3
}
}
⚠️ 影响分析
攻击者可以获取公司规模等敏感信息,为进一步的社会工程学攻击或定向攻击做准备。
📝 漏洞描述
/api/auth/me 接口无需登录即可访问,虽然返回 user 为 null,但暴露了 API 响应格式和结构,有助于攻击者了解系统架构。
🔍 复现步骤
2
直接访问以下URL:
https://linzhong-members.pages.dev/api/auth/me
✅ 预期结果
{
"success": true,
"user": null
}
⚠️ 影响分析
攻击者可以了解API结构和响应格式,为进一步的攻击做准备,降低攻击难度。
📝 漏洞描述
登录接口未发现明显的速率限制或账号锁定机制,攻击者可能通过暴力破解获取用户账号密码。
🔍 复现步骤
1
打开登录页面:
https://linzhong-members.pages.dev/login
✅ 预期结果
多次登录失败后,系统仍允许继续尝试,没有出现验证码、账号锁定或速率限制等防护措施。
⚠️ 影响分析
攻击者可以使用自动化工具进行暴力破解,尝试大量密码组合,存在账号被破解的风险。
📝 漏洞描述
从前端代码分析,未发现 CSRF token 的使用。如果后端也没有 CSRF 防护,攻击者可能诱导已登录用户执行非预期操作。
🔍 复现步骤
2
查看前端 JS 代码,搜索 CSRF、token 等关键词
3
检查 API 请求头,查看是否携带 CSRF token
✅ 预期结果
前端代码中未发现 CSRF token 相关逻辑:
- API 调用函数没有设置 CSRF 请求头
- 登录响应中没有返回 CSRF token
- 表单中没有隐藏的 CSRF token 字段
⚠️ 影响分析
如果后端也没有 CSRF 防护,攻击者可以构造恶意页面,诱导已登录用户访问,从而执行非预期操作(如修改信息、删除数据等)。