业务逻辑漏洞
定义:由于开发者的逻辑不严谨,造成的程序功能异常。简单来说就是开发者的代码有问题。
特点:业务逻辑漏洞无法被扫描器扫描到
举例
-
暴力破解
-
任意用户/密码登录
-
短信/邮箱轰炸
-
验证码绕过/爆破/重放/回传
-
用户名/手机号枚举
-
越权登录(例如修改数据包中用户ID) 越权=>高危
-
商品金额/数据篡改
-
整数溢出,int 最大值为 2147482647(2的31次方-1)
复现
1. 修改商品任意价格
BP抓包
提交,修改,放包
此时成功修改单价,0元购
2. 整数溢出
int 最大值为 2147482647(2的31次方-1),在一些小型购物网站可能仍存在
数量在2147482647,输出正常
将数量提高到2147482647以上,触发整数溢出
以Java的 “int” 为例
public class Int {
public static void main(String[] args) {
int p1 = 2147483647;
int p2 = p1+1;
System.out.println("未溢出的支持支付的最大金额:"+p1);
System.out.println("溢出后要支付的金额:"+p2);
}
}
3. 验证码绕过
演示于Pikachu靶场
3.1 前端绕过
原理:
根据浏览器要求输入验证码,抓到数据包之后,直接在数据包里面把数据包给删掉都不影响爆破操作。
前端的验证码都存在一个验证码复用的问题,抓到包之后不动包里的验证码,直接修改需要用于爆破的用户名密码,然后发包,就能进行爆破,因为爆破过程不会触发前端的验证码更改逻辑,验证码还是抓包抓到的那个。
演示:
账号密码随便输入(假装爆破
先输入错误的验证码,查看报错信息
输入正确验证码并抓包
发送给Repeater
发现左侧验证码改变
但包内的验证码仍为改变之前的验证码,并重新发包
此时仍然能得到正确的回显(右侧提示内容显示当前登录用户名或密码不存在,证明成功绕过验证码)
更改用户名,甚至更改包内验证码并重新发包验证,仍能成功回显
(即使删掉包内验证码也能成功回显,可以进行爆破)
3.2 后端(服务器)绕过
原理:
验证码在后台不过期,可以长期被使用
演示:
输入正确的验证码,并抓包
上图的 ”username or password is not exists~“ 可以视作验证码输入成功的回显
发送给Repeater,此时验证码触发刷新条件,自动更新
在Repeater中修改验证码为左侧新的验证码,并重新发包
此时左侧验证码没有刷新,右侧提示内容显示当前登录用户名或密码不存在,证明成功绕过验证码
不更改包内验证码,更改用户名并重新发包验证
验证成功,绕过前端验证码,可进行爆破