业务逻辑之身份认证

• 实现业务功能的逻辑不严谨导致的漏洞

• 业务流程分类

  • 用户身份验证
  • 会话管理
  • 角色和权限识别
  • 资源访问
  • 交易和支付
  • 密码重置和安全设置
  • 日志记录和审计
  • url参数
    • 某些参数可以表示用户权限（身份）
  • http请求头
    • 用户身份验证信息存在请求头部中的 Authorization字段中
  • http请求正文
  • Cookies
  • 数据库记录
  • 服务器端会话状态
  • 客户端状态
  • 日志文件
  • 后端应用程序代码
  • 前端应用程序代码

• 逻辑漏洞危害性标准

  • 数据泄露和隐私问题
    • 数据保护措施不到位导致的用户数据的泄露
  • 未授权访问
    • A能看到B、C等用户的一些信息；如订单信息等
  • 金融损失
  • 合规性问题
    • 数据保护问题可能会导致公司被起诉；安全性法规
  • 业务中断
    • 业务功能中断；无法访问该业务功能；用户可能流失
  • 拒绝服务
    • 服务器宕机；无法访问
  • 恶意行为和欺诈
    • 公司损失，名誉受损
  • 声誉损失
  • 长期存在和影响
    • 长期不安全因素的存在会导致用户的流失
  • 难以检测
    • 逻辑漏洞的产生没有具体的标准，因此难以检测

• 漏洞挖掘思路

  • 边界条件测试
    • 购物车数量使用负数或超过最大值进行测试；看是否有数量检测漏洞
  • 交叉验证
    • 删除帖子后快速恢复帖子，查看帖子状态是否有改变
  • 颠倒顺序
    • 对于选择有先后顺序要求的，如订票先选定日期后选定座位
  • 重复操作
    • 重复投票
  • 越权操作
    • 通过低权限账号实现了高权限账号的操作
    • 如医生账号可以看患者病历，登入患者账号可以尝试查看其他患者病历，如果可以则存在越权漏洞
  • 并发操作
    • 多用户购买同一商品（超出库存），查看是否会因为库存不一致导致出错
  • 审查业务逻辑代码
    • 代码审计的内容，通过代码查看逻辑；
    • 如在线投票程序；投票结束了依然能够投票

• 身份验证问题

  • 验证码

    • 类型

      • 图片验证码

        • 滑动验证码、普通图片验证码、数字算法验证码等
        • 随机性
          • 字符、颜色、字体、位置等随机
        • 失真或噪音
          • 一堆污点或斜线，导致无法轻易识别中间的验证码
        • 时间限制
          • 验证码有输入时间限制
        • 可绕过的情况
          • 图像验证码不刷新或无效
            • session验证，保证session或cookie不变就行
          • 验证码复用
            • session验证，保证session或cookie不变就行
          • 存在无验证界面
          • 万能验证码
            • 0000 6666 9999 等用于测试的验证码
          • 验证码数量有限
            • 将有限的图片保存生成字典进行爆破
          • 简单验证码识别

      • 短信验证码

        • 通过手机号进行验证
        • 绕过方法
          • 短信验证码生命期限内可暴力枚举
            • 一些短信验证码有五分钟或十分钟的时间有效期
          • 短信验证码在数据包中返回
            • 可能出现验证码存在数据包中的情况（虽然感觉不合理）
          • 修改请求数据包参数或 Cookie 值绕过
            • 某些参数可能可以规避短信验证码验证
          • 修改返回包绕过
            • 针对前端验证，通过修改返回包的状态码进行绕过
          • 攻破短信验证码接口
            • 找到对应网站使用的短信验证码接收平台，攻破该平台也能进行登录
          • 默认万能验证码
            • 0000 9999等
          • 验证码无校验

    • 场景

      • 登录注册重置密码
      • 活动秒杀
      • 点赞发帖
      • 数据保护
        • 支付
        • 修改重要账户信息
        • 评论私信留言
    • 漏洞修复方案
      • 增加复杂性
      • 添加噪音或失真
      • 动态验证码
      • 图像反扭曲
      • 多因素身份验证
      • 定期更新设计

  • 身份验证

    • 利用场景
      • 用户登录
      • 多因素身份验证
      • 社交媒体登录
      • 密码重置
      • API身份认证
      • SSO单一登录
      • 电子商务支付
      • 云服务和存储
    • 绕过手段
      • 暴力破解（用户名、密码）
      • cookie和session验证
        • 利用插件修改cookie中的某个参数冒仿他人登录
      • 弱加密
        • token固定或者为用户名的编码，可以猜到的
    • 防御手段
      • 多因素认证
      • 密码策略
      • 防止暴力破解
      • 单点登录
      • 安全问题和答案
      • 弱密码检测

  • 密码找回

    • 测试流程
      • 点击正常的密码找回，尝试各种找回条件，记录所有数据包
      • 分析数据包，找到敏感的参数或者数据信息
      • 分析后台找回机制采用的验证手段
      • 修改数据包验证推测
    • 绕过手段
      • 验证码暴力破解
      • 验证码直接返回
      • 跳过验证步骤
      • 利用邮箱、手机号进行绑定
      • 第三方登录绑定其他用户
      • 无验证手机号是否为绑定手机号
      • 本地验证绕过
      • 重置密码最后一步uid或者username可控
      • 个人中心修改密码逻辑错误
      • 利用session重新绑定用户
      • 去掉验证参数绕过验证
      • 任意输入验证码修改用户密码
    • 防御手段
      • 验证码防御
      • 多重验证手段验证：绑定手机号、用户名、邮箱等
      • 只提供修改密码的界面，不提供其他任何可操作参数

  • 用户输入合规性

    • 用户的输入要符合系统的标准、规则、约束；以确保功能正常的运行
    • 利用场景（所有输入的地方）
      • 表单验证
      • 支付信息
      • 身份验证
      • 数据过滤
      • 搜索引擎查询
      • 评论和反馈
      • 电话号码验证
      • 电子邮件验证
    • 利用手段
      • 注入测试
      • xss测试
      • 数据极端性测试
        • 超长字符串测试
        • 特殊符号
        • 整数溢出