漏洞介绍
任意用户登录指系统用户或者非系统用户可以通过利用系统身份验证校验业务逻辑设计缺陷漏洞来实现登录任意用户的目的
漏洞案例
在网站前台和后台提供了用户登录功能模块,在用户登录时需要提供登录手机号的短信验证码作为认证凭证,但是测试人发现用于认证的短信验证码凭证存在泄露现象,攻击者可以利用该漏洞登录任意普通用户以及管理员的账户并且获得账户所有权
登录任意用户账户(普通会员以及管理员皆可)
使用burpsuite拦截数据包,在响应数据包中发现登录验证码认证凭证
使用获取到的验证码进行登录
成功进入13056663666用户的个人页面
修复建议
避免返回验证码到响应包中,验证码一定要放在服务端校验