【业务安全03】密码找回业务安全

已于 2022-07-01 03:38:03 修改
阅读量5.8k 收藏 3
点赞数 3
分类专栏: # 筑基07:WEB漏洞原理 文章标签: 安全 web安全 http 密码找回 业务安全
于 2022-03-17 12:14:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fighting_hawk/article/details/123545714
版权

目录

0 前言

1 密码找回流程绕过测试概述

  1. 用户修改密码需要向服务器发送修改密码请求,服务器通过验证后再修改数据库中相应的密码。密码找回常规步骤:
    1. 用户输入找回密码的账号。
    2. 校验凭证:向用户发送短信验证码或者找回密码链接,用户回填验证码或单机链接进入密码重置页面,以此方式证明当前操作时账号主人。
    3. 校验成功进入重置密码页面。
  2. 在上述业务逻辑步骤中,第二步校验凭证尤为重要。绕过思路分析:
    1. 攻击者无法收到相关的校验凭证,那是否存在一些方式绕过第二步直接进入第三步重置密码呢?
    2. 如果无法绕过,那是否第二步存在爆破的可能呢?
    3. 服务端是通过Cookie、Session、Toekn等来判断浏览器是哪个用户,是否存在偷梁换柱的可能?

2 验证码方面

2.1 验证码客户端回显测试

  1. 业务背景:用户登录或密码找回时,需要根据一个图片输入验证码,有些网站程序会选择将验证码回显到响应中,来判断用户输入的验证码是否和响应中的验证码一致,如果一致就会通过验证。
  2. 测试方法:找回密码测试中要注意验证码是否会回显到响应(更多指的是网页代码)中,如果回显到响应中,则认为有漏洞。
  3. 危害:可能会包抓包用于爆破。

2.2 验证码重复利用

  1. 业务背景:用户登录或密码找回时,需要根据一个图片输入验证码,一般情况下,客户端在登录界面输入账号密码验证码并提交,如果成功就进入下一个页面,如果失败就刷新页面(此时验证码因刷新页面而刷新)重新输入。也就是如果服务端在接收到请求后没有自动刷新验证码,就存在客户端不刷新页面就不会刷新验证码的情况,此时就存在验证码重复利用的漏洞。
  2. 测试方法:在测试验证码是否可以被重复利用时,可以用BurpSuite抓一下登录的请求包,发送到Repeater模块中重复发送请求(在BurpSuite中发送请求不会刷新页面),看看第二次发送请求时是否会提示验证码出错,来判断是否存在验证码重复利用的逻辑漏洞。
  3. 危害:可能会包抓包用于爆破。

2.3 验证码暴力破解

  1. 业务背景:找回密码功能模块中,通常会有将用户凭证(验证码)发送到用户自己才可以看到的手机号或者邮箱中,只要用户不泄露就不会被攻击者利用,但是有些应有程序在验证码发送功能模块中验证码的位数及复杂性较弱,也没有对验证码次数限制而导致验证码可以被暴力枚举并修改任意用户密码。
  2. 测试方法:在测试验证码是否可以被暴力枚举时,可以先将验证码多次发送给自己的账号,先观察验证码是否有规律,再观察是否有对验证码的尝试次数进行限制,如果密码规律简单且没有次数限制就容易被爆破。

3 Cookie、Session、Token方面

3.1 Session 覆盖

  1. 业务背景:密码找回业务中也会遇到参数不可控的情况,比如说要修改的用户名或者绑定的手机号无法在提交参数时修改,服务端通过读取当前Session会话来判断要修改密码的账号,这种情况下能否对Session中的内容做修改以达到任意面重置的目的呢?
  2. 例子:有些网站中找回密码功能中,业务逻辑这样的:
    1. 由用户使用手机号进行注册;
    2. 然后服务端向手机发送验证码短信;
    3. 最后用户输入验证码提交后,进入密码重置页面。
  3. Session覆盖测试步骤如下:
    1. 需要准备自己的账号接受凭证(短信验证码);
    2. 获取凭证校验成功后进入密码重置页面;
    3. 在浏览器新标签中重新打开找回密码页面,输入目标手机号;(待攻击对象)
    4. 此时当前SessionID账户已经被覆盖,重新回到第二步中打开的重置密码页面即可重置目标手机号密码。
    5. 如果回到第二步州能成功修改密码则表明存在逻辑漏洞;如果弹出要求输入验证码则说明服务端会对当前Session是否已经进行验证进行校验。

3.2 弱Token设计缺陷测试

  1. 业务背景:在找回密码功能中,很多网站会向用户邮箱发送密码页面连接,用户只需要进入邮箱,打开找回密码邮件中的链接,就可以进入密码重置页面了。
  2. 找回密码的链接通常会加入校验参数来确认链接的有效性,通过校验参数的值与数据库生成的值是否一致来判断当前找回密码的链接是否有效,比如http://www.xxx.com/findpwd?uid=xx-uu-sxx&token=xxxxxx

4 Response 状态值修改测试

  1. 概述:Response状态值修改测试,即修改请求的响应结果来达到密码重置的目的,存在这种漏洞的网站或手机APP往往因为校验不严格而导致非常危险的密码重置操作。
  2. 测试方法:在服务端发送某个密码重置的凭证请求后,出现特定的响应值,比如true、1、ok、success等表示对错的值,网站看到回显内容为特定值后就会修改密码,通常这种漏洞的回显值校验是在客户端进行的,所以只要修改回显即可。

5 接口参数账号修改

  1. 业务背景:找回密码功能逻辑中常常会在用户修改密码接口提交参数中存在传递用户账号的参数,而用户账号参数作为一个可控变量是可以被篡改的,从而导致修改账号密码的凭证或修改的目标账号出现偏差,最终造成任意账号密码修改的漏洞。
  2. 接口参数账号修改测试为拦截前端请求,通过修改请求内的账号ID、名称或邮箱、手机号等参数,将修改后的数据发送给服务器进行欺骗以达到密码重置的目的。
  3. 例子:以metinfov4.0为例,参考文章《接口参数账号修改漏洞——以metinfov4.0为例

6 总结

  1. 了解密码找回相关业务安全风险点;
  2. 掌握相关风险点的测试方法。
Fighting_hawk
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
metinfo_5.0.4 任意文件本地包含漏洞复现(metinfo_5.0.4_lfi)
薛定谔嘚喵博客
05-06 389
include/module.php” 和 $mouble 这个变量,进行跟踪,打开 …/include/module.php,module.php里还包含着 “common.inc.php” ,我们先对module.php进行代码审计。可以看到当fmodule这个变量不等于7时,它就会对$module进行验证,接着对"common.inc.php"进行跟踪。发现common.inc.php的这段代码有漏洞点,双$$符号可能存在变量覆盖漏洞。我们要让fmodule=7,绕过对$module的验证。
42.(后端)更新用户信息
m0_63953077的博客
10-20 621
修改用户信息后端功能实现
java会话技术--03--Session覆盖问题
最新发布
zhou920786312的博客
04-21 716
因cookie冲突导致session丢失,因为8081和8082使用SESSION会话的名称都是JSESSIONID。同一域名,同一个服务,不同的端口,存在session会话覆盖的问题。为不同的应用,设置自己的会话名称。不使用默认的JSESSIONID。一个新的cookie与一个已存在的cookie比较。可以看到 和 8081是不一样的。可以看到8081服务的会话名称是。可以看到8082服务的会话名称是。启动8081和8082。
metinfo 5.3.19 管理员密码重置
PWFUX72376的博客
07-23 538
安装metinfo5.3.19 注册 点击忘记密码输入注册用户名 burp拦截 post请求后接指定地址和端口 对端口进行监听 监听到的数据中 a标签中就是重置密码的url 复制url地址字浏览器打开 可输入任意新密码 登录输入用户名密码即可进入后台 转载于:https://www.cnblogs.com/Scholar...
Metinfo 5.3 后台getshell(远程文件包含漏洞)分析
__Curtain_
08-30 6076
最近准备入代码审计的坑,拿Metinfo来练练手,先找了下以前的版本整理下思路。 看了下大神的文章,代码审计的方法总体上分为两种:     1. 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。     2. 根据不同编程语言的特性,及其历史上经常产生漏洞的一些函数,功能,把这些点找出来,在分析函数调用时的参数,如果...
web安全-业务安全知识点总结.pdf
02-10
根据网上视频课程学习总计知识点,文档结构分为业务安全概述、测试流程、业务数据安全密码找回安全做出总结 整理为文档 可以方便查阅
密码找回.xmind
09-10
文档列举了常见的密码重置(密码找回)的测试方法及安全案例。
永无休止的业务逻辑“漏洞”.pdf
08-07
业务逻辑漏洞,它本身不是咱们说的网络层,系统层,代码层,它本身是跟人相关的,它称之为业务设计缺陷。接下来锅涛老师就给大家全方位讲解一下,在我们程序开发过程中,怎么去规避。...0x03任意支付密码修改 应对法则
linux mysql 找回密码
09-11
Linux MySQL 找回密码 Linux MySQL 找回密码是指在 Linux 系统中,MySQL 服务器忘记密码时采取的解决方法。...Linux MySQL 找回密码需要遵循一定的步骤和注意事项,以确保密码修改操作安全和正确。
Java实现邮件找回密码功能
08-26
Java实现邮件找回密码功能 本文主要介绍了Java实现邮件找回密码功能的详细实现过程,该功能主要用于用户忘记密码后通过邮箱...该功能的实现需要考虑到安全性和可靠性,可以使用数字签名和密钥来确保密码找回安全性。
Android设计登录界面、找回密码、注册功能
09-02
主要为大家详细介绍了Android设计登录界面的方法,Android实现找回密码、注册功能,感兴趣的小伙伴们可以参考一下
超强匿名发信程序EMailSender
12-13
本程序为邮件机器人程序,单个地址和广告邮件发送 次数小于1000封。群发需设置规则,每人一封,From处可 任意设定发送者。发送次数在settings->Times处设定。 程序功能: 1.发送多封邮件给一个接收者 2.群发邮件(按群发规则每个地址发送一封) 3.匿名发送(可任意伪造发件人地址) 4.广告邮件(随机按规则发送指定次数的广告邮件)
业务安全06】接口参数账号修改漏洞——基于metinfov4.0平台
Fighting_hawk的博客
03-18 3008
1. 加深对业务逻辑漏洞的理解。 2. 掌握篡改接口数据导致密码重置这个业务逻辑漏洞的测试方法。
靶场日记2-----MetInfocms靶场
Zer0ooo的博客
11-26 2150
实验环境: 一个外网+两个内网 注:外网,可以访问到物理机,网卡为nat3; 物理机访问----->192.168.100.130 实验要求: 本环境共设置3个flag,在实验过程中不允许操作虚拟机。 步骤详解: 1.搭建环境,确保物理机ip为192.168.100.xxx网段。 2.物理机访问192.168.100.130,能够进入。并发现版本为MetInfo 5.0.4。 3.发现...
数据存储——四种存储方式——共享参数SharedPreferences——保存路径是:/data/data/应用包名/shared_prefs/文件名.xml——实现密码登录功能——此章节是前面的内容...
小白龙白龙马的博客
07-10 335
// 下面是利用共享参数保存密码的代码 // 如果勾选了“记住密码”,则把手机号码和密码都保存到共享参数中 if (bRemember) { SharedPreferences.Editor editor = mShared.edit(); // 获得编辑器的对象 editor.putString("phone", et_phone.g...
Spring boot+mybatis 编写接口(例:注册账号)
m0_62863537的博客
12-05 1290
快速编写接口
[ABAP] 接口账号设置
卡莫晚安的博客
01-04 640
接口账号类型设置
MetInfo4.0越权漏洞
weixin_47346400的博客
02-18 4290
漏洞复现 step1:点击会员中心 step2:注册一个abcd,密码为123456的账户 然后登录该abcd账户,并修改密码时burp抓包,并将abcd改为admin,于是就出现垂直越权的漏洞。 原来的admin密码为123456787,后为123456789 ...
Android 实战项目:找回密码
梁辰兴的博客
11-05 2498
在移动互联网时代,用户是每家IT企业最宝贵的资源,对于App而言,吸引用户注册并登录是万分紧要之事,因为用户登录之后才有机会产生商品交易。登录校验通常是用户名+密码组合,可是每天总有部分用户忘记密码,为此要求App提供找回密码的功能,如何简化密码找回步骤,同时兼顾安全性,就是一个值得认真思考的问题。各家电商App的登录页面大同小异,要么是用户名与密码组合登录,要么是手机号码与验证码组合登录,若是做好一点的,则会提供找回密码与记住密码等功能。先来看一下登录页面是什么样,因为有两种组合登录方式,所以登录页面也分
渗透测试用例、安全手工测试用例
06-01
测试密码策略,如强度要求、找回机制、存储方式以及会话标识的安全性。密码应加密存储,会话标识需安全生成和管理。 **安全测试项** 系统应具备专门的登录控制模块,并采用多种身份鉴别技术结合。测试人员应检查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值