1837620622/baxigpt-security-research

GitHub: 1837620622/baxigpt-security-research

针对 baxigpt.com API 表面的独立安全研究项目,包含已确认漏洞分析、后端架构推断和只读审计脚本。

Stars: 0 | Forks: 0

# baxigpt-security-research 针对 **baxigpt.com**(一个基于 FastAPI 的 ChatGPT Plus 卡密兑换网关)的独立安全研究与威胁情报文档。 本代码仓库整理了侦察产物、推断的后端架构、已确认的漏洞分析,以及适用于安全工程师、审计人员和评估 API 风险的集成合作伙伴的只读概念验证脚本。 ## 执行摘要 | 项目 | 详情 | |------|--------| | **技术栈** | nginx/1.24.0 (Ubuntu) → FastAPI v0.1.0 → 推断的 PIX/BLIK 上游 | | **目的** | 使用用户提供的 ChatGPT `accessToken` 进行卡密兑换 | | **严重问题** | 速率限制绕过 (XFF)、`/api/query` 上的 BOLA、OpenAPI 管理员信息泄露、薄弱的管理员登录策略 | | **管理员权限** | 未获取;会话认证经受住了广泛的测试 | 完整分析:**[docs/SECURITY-REPORT.md](docs/SECURITY-REPORT.md)** ## 快速复现 ``` # 安装: none (仅限 stdlib) python3 exploits/baxigpt_audit.py health python3 exploits/baxigpt_audit.py code-info --code EU-HFNDFHD4 python3 exploits/baxigpt_audit.py query --code EU-HFNDFHD4 ``` 请参阅 **[docs/REPRODUCTION.md](docs/REPRODUCTION.md)** 获取所有命令。 ## 仓库结构 ``` . ├── README.md # This file ├── LICENSE # MIT (scripts); research disclaimer below ├── docs/ │ ├── SECURITY-REPORT.md # Primary findings report │ ├── REPRODUCTION.md # PoC commands │ ├── ARCHITECTURE.md # Backend reconstruction │ ├── API-REFERENCE.md # Endpoint documentation │ ├── ADMIN-SURFACE.md # Admin UI analysis │ ├── THREAT-INTELLIGENCE.md │ ├── METHODOLOGY.md │ ├── INDEX.md │ └── archive/ # Earlier working drafts ├── exploits/ # Read-only audit scripts ├── artifacts/ # JSON probe output ├── captures/ # Raw HTTP/HTML captures └── recovered-code/ # Third-party API clients (GitHub) ``` ## 已确认的发现(简述) 1. **速率限制绕过** — 轮换 `X-Forwarded-For` 可避免 `HTTP 429`([证据](artifacts/pentest-enum-bypass.json)) 2. **BOLA / 隐私泄露** — `POST /api/query` 针对单个卡密返回所有订单和电子邮件([证据](artifacts/round8-cards.json)) 3. **OpenAPI 暴露** — `/openapi.json` 列出了隐藏的管理员路由([捕获记录](captures/openapi.json)) 4. **管理员登录策略** — 在 `/api/admin/login` 上未观察到限流([证据](artifacts/round7-full.json)) 5. **输入验证缺陷** — 类型错误会导致 HTTP 500([证据](artifacts/round8-fuzz.json)) ## 脚本 | 脚本 | 描述 | |--------|-------------| | `exploits/baxigpt_audit.py` | 统一 CLI:健康检查、卡密信息查询、数据请求、openapi | | `exploits/ip_bypass_enum.py` | XFF 轮换 + 卡密枚举助手 | | `exploits/round8_fuzz500.py` | 类型混淆模糊测试(请谨慎使用) | ## 文档导航 从 **[docs/INDEX.md](docs/INDEX.md)** 开始。 ## 威胁情报 该服务与一个分发 EU/PIX 卡密的经销商生态系统(chirou.ai / web3chirou.com)有关联。该网站本身并未公布客服联系方式。详情请参见:[docs/THREAT-INTELLIGENCE.md](docs/THREAT-INTELLIGENCE.md)。 ## 免责声明 本项目记录了以只读方式进行的**授权安全研究**技术。提供这些脚本和报告是为了用于防御性分析、集成风险审查和教育目的。 - **请勿**使用这些工具大规模暴力破解卡密、收集第三方凭证或破坏服务。 - 捕获的产物可能包含来自自愿测试流量的真实标识符;请妥善处理。 - 作者与 baxigpt.com 或其运营方没有任何隶属关系。 ## 许可证 MIT 许可证 — 详见 [LICENSE](LICENSE)。研究文本及捕获的第三方内容仍受其各自条款的约束。
标签:API安全, CISA项目, JSON输出, Python, 威胁情报, 实时处理, 密码管理, 开发者工具, 无后门, 漏洞分析, 路径探测, 逆向工具