【网络安全】利用未授权API接口实现创建Support Ticket
未经许可,不得转载。
文章目录
- 正文
目标为一个技术平台,客户可以通过该平台预订不同类型的服务。
正文
redacted.com 是主域,但所有流量都通过 api.redacted.com。我过去曾使用该公司预订了一些服务,因此我的帐户中有预订历史。
我对我的订单开具了 Support Ticket,此时请求的 API 为:
https://api.redacted.com/api/v2/marketplace/ticketV2/createTicket
请求体为:
{"city_key":null,"userId":"hashed_user_id","referenceId":"booking_id","issueType":"send_email_invoice","sourceKey":"help_center"}
其中 referenceId 参数的值为我的订单 ID。
接着,我删除 Cookie 并重发请求,响应为 200 状态码: