- 博客(61)
- 收藏
- 关注
RSS订阅翻译 CVE-2019-2725/CNVD-C-2019-48814绕过补丁的批量检测工具
关于CVE-2019-2725/CNVD-C-2019-488 14被绕过补丁的说明https://www.jianshu.com/p/00971068de90工具下载地址:链接: https://pan.baidu.com/s/1y4aXxS4D3EYxFZ1Q3sj_1A 提取码: uq3t作者:锦凡歆在 ‘来疯’ 直播唱歌最好听转发自:ht...
2019-07-26 15:00:48
994
原创 反向代理et正向代理
作者:锦凡歆在 ‘来疯’ 直播唱歌最好听1、什么是反向代理? 客户端向一个服务器A提交请求后,服务器A偷偷地去服务器B上获取资源,并返回给客户端。客户端天真地以为数据是服务器A给他的。在这过程中,服务器A称为“反向代理服务器”,服务器B称为反向代理服务器的“后端服务器”。2、反向代理有两种用法:(1)一种是为多个网站的Web服务器提供代理,这些网站的域名都指向反向代理...
2019-07-25 21:03:35
350
原创 Android的AndroidManifest.xml中的allowBackup属性讲解
作者:锦凡歆----->在 ‘来疯’ 直播唱歌最好听1. 概述自从 API 8以来,谷歌为用户提供了应用程序数据备份和恢复的功能,此功能的开关是AndroidManifest.xml 文件的 allowBackup属性,默认为true开启。所以用户可以对我们的应用数据备份。当allowBackup标志为true时,用户即可通过adb backup和adb restore来进...
2019-07-09 20:18:36
722
原创 Apache Axis 远程代码执行(CVE-2019-0227)
1、基本情况 Apache Axis存在一个远程代码执行漏洞,CVE编号:CVE-2019-0227。 2、攻击原理 Axis附带的默认服务StockQuoteService.jws包含一个硬编码的HTTP URL,可用于触发HTTP请求。攻击者可以通过域名(www.xmltoday.com)接管或者通过ARP欺骗服务器从而执行MITM攻击,并将HTTP请求重定向到恶意W...
2019-06-18 18:47:53
4386
原创 apk组成结构
Android的apk组成结构 APK 是 Android PacKage 的缩写,即 Android 安装包。将 APK 文件直接传到 Android 模拟器或 Android 手机中执行即可安装。 APK 文件其实是 zip 格式,但后缀名被修改为 apk ,在 windows 上可以通过 WinRar 等程序直接解压查看。每个要安装到Android平台的应用都要被编...
2019-06-05 21:09:45
2873
原创 WebService测试
WebService测试WebService是一种跨编程语言和跨操作系统平台的远程调用技术XML+XSD、 SOAP(Simple Object Access Protocol)和WSDL(Web Services Description Language)就是构成WebService平台的三大技术,其XML+XSD用来描述、表达要传输的数据; SOAP是用于交换XML编码信息的轻量级协议,一...
2019-05-28 18:07:37
351
原创 Callback自定义测试
Callback自定义测试在浏览器中存在着同源策略,所谓同源是指域名、协议、端口相同。当使用Ajax异步传输数据时,非同源域名之间会存在限制。其中有一种解决方法是JSONP(JSON with Padding),基本原理是利用了HTML里<script></script>元素标签,远程调用JSON文件来 实现数据传递。JSONP 技术中一般使用 Callback(回调函...
2019-05-28 18:06:32
317
原创 接口未授权访问/调用测试
接口未授权访问/调用测试在正常的业务中,敏感功能的接口需要对访问者的身份进行验证,验证后才允许调用 接口进行操作。如果敏感功能接口没有身份校验,那么攻击者无须登录或者验证即可调用 接口进行操作。在安全测试中,我们可以使用Burp Suite作为HTTP代理,在登录状态下记 录所有请求和响应信息,筛选出敏感功能、返回敏感数据的请求。在未登录的情况下,使 用浏览器访问对应敏感功能的请求,如果返回的...
2019-05-28 18:05:20
4033
原创 接口调用参数篡改测试
接口调用参数篡改测试在短信、邮件调用业务环节中,例如短信验证码、邮件验证码。修改对应请求中手机号或邮箱地址参数值提交后,如果修改后的手机号或邮箱收到系统发送的信息,则表示接口数据调用参数可篡改。作者:锦凡歆在‘来疯’直播唱歌最好听修复建议(1)会话Session中存储重要的凭证,在忘记密码、重新发送验证码等业务中,从 Session获取用户凭证而不是从客户请求...
2019-05-28 18:02:21
719
原创 接口调用遍历测试
接口调用遍历测试Web 接口一般将常见的一些功能需求进行封装,通过传入不同的参数来获取数据或 者执行相应的功能,其中一个最常见的场景就是通过接口传入id参数,返回对应id的一些 信息。在安全测试中,我们可以使用Burp Suite作为HTTP代理,记录所有请求和响应信 息,通过Burp Suite以登录后的状态对整站进行爬取,再使用过滤功能找到传入id参数的 HTTP请求,然后通过Intrud...
2019-05-28 18:01:24
1000
原创 接口调用重放测试
接口调用重放测试在短信、邮件调用业务或生成业务数据环节中,如短信验证码、邮件验证码、订单生成、评论提交等,对业务环节进行调用(重放)测试。如果业务经过调用(重放)后多次生成有效的业务或数据结果,可判断为存在接口调用(重放)问题。作者:锦凡歆在酷狗直播唱歌最好听修复建议(1)对生成订单环节采用验证码机制,防止生成数据业务被恶意调用。(2)每一个订单使用唯一的...
2019-05-28 18:00:23
796
原创 密码找回流程绕过测试
密码找回流程绕过测试很多网站的密码找回功能一般有以下几个步骤。(1)用户输入找回密码的账号;(2)校验凭证:向用户发送短信验证码或者找回密码链接,用户回填验证码或单击链接进入密码重置页面,以此方式证明当前操作用户是账号主人;(3)校验成功进入重置密码页面。 在找回密码逻辑中,第二步校验凭证最为重要。不是账号主人是无法收到校验凭证 的,试想有没有办法可以绕过第二步凭证校验,直接进入第...
2019-05-28 17:51:53
678
原创 弱Token设计缺陷测试
弱Token设计缺陷测试在找回密码功能中,很多网站会向用户邮箱发送找回密码页面链接。用户只需要进入 邮箱,打开找回密码邮件中的链接,就可以进入密码重置页面了。找回密码的链接通常会 加入校验参数来确认链接的有效性,通过校验参数的值与数据库生成的值是否一致来判断 当前找回密码的链接是否有效。 例如,网站给出的找回密码的url如下,单击这个链接将跳转到重置密码页面。 http://www.xxx.c...
2019-05-28 17:49:37
707
原创 Session覆盖测试
Session覆盖测试找回密码逻辑漏洞测试中也会遇到参数不可控的情况,比如要修改的用户名或者绑定的手机号无法在提交参数时修改,服务端通过读取当前session会话来判断要修改密码的账 号,这种情况下能否对Session中的内容做修改以达到任意密码重置的目的呢? 在某网站中的找回密码功能中,业务逻辑是:由用户使用手机进行注册,然后服务端 向手机发送验证码短信,用户输入验证码提交后,进入密码重置页...
2019-05-28 17:46:04
554
原创 Response状态值修改测试
Response状态值修改测试Response状态值修改测试,即修改请求的响应结果来达到密码重置的目的,存在这种 漏洞的网站或者手机App往往因为校验不严格而导致了非常危险的重置密码操作。 这种漏洞的利用方式通常是在服务端发送某个密码重置的凭证请求后,出现特定的响 应值,比如true、1、ok、success等,网站看到回显内容为特定值后即修改密码,通常这 种漏洞的回显值校验是在客户端进行的,...
2019-05-28 17:42:23
629
原创 接口参数账号修改测试
接口参数账号修改测试找回密码功能逻辑中常常会在用户修改密码接口提交参数中存在传递用户账号的参 数,而用户账号参数作为一个可控的变量是可以被篡改的,从而导致修改账号密码的凭证 或修改的目标账号出现偏差,最终造成任意账号密码修改的漏洞,通常在找回密码逻辑中,服务端会要求用户提供要修改的账号,然后给这个账号发送 只有账号主人才能看到的凭证。比如给这个账号主人绑定的邮箱或手机号发送验证码,或 者找...
2019-05-27 12:37:32
466
原创 验证码暴力破解测试
验证码暴力破解测试测试原理和方法找回密码功能模块中通常会将用户凭证(一般为验证码)发送到用户自己才可以看到 的手机号或者邮箱中,只要用户不泄露自己的验证码就不会被攻击者利用,但是有些应用 程序在验证码发送功能模块中验证码位数及复杂性较弱,也没有对验证码做次数限制而导致验证码可被暴力枚举并修改任意用户密码。 在测试验证码是否可以被暴力枚举时,可以先将验证码多次发送给自己的账号,观察 验...
2019-05-27 12:33:57
1351
原创 验证码客户端回显测试
验证码客户端回显测试找回密码测试中要注意验证码是否会回显在响应中,有些网站程序会选择将验证码回 显在响应中,来判断用户输入的验证码是否和响应中的验证码一致,如果一致就会通过校验。作者:锦凡歆在‘来疯’直播唱歌最好听修复建议避免返回验证码到响应包中,验证码一定要放在服务端校验。...
2019-05-27 12:32:59
231
原创 业务流程绕过测试
业务流程绕过测试该项测试主要针对业务流程的处理流程是否正常,确保攻击者无法通过技术手段绕过 某些重要流程步骤,检验办理业务过程中是否有控制机制来保证其遵循正常流程。例如业 务流程分为三步:第一步,注册并发送验证码;第二步,输入验证码;第三步,注册成 功。在第三步进行抓包分析,将邮箱或手机号替换为其他人的,如果成功注册,就跳过了 第一步和第二步,绕过了正常的业务流程。作者:锦...
2019-05-27 12:31:55
590
原创 业务上限测试
业务上限测试业务上限测试主要是针对一些电商类应用程序在进行业务办理流程中,服务端没有对 用户提交的查询范围、订单数量、金额等数据进行严格校验而引发的一些业务逻辑漏洞。 通常情况下,在业务流程中通过向服务端提交高于或低于预期的数据以校验服务端是否对 所提交的数据做预期强校验。存在此类脆弱性的应用程序,通常表现为查询到超出预期的 信息、订购或兑换超出预期范围的商品等。作者:锦凡歆在...
2019-05-27 12:30:55
275
原创 请求重放测试
请求重放测试请求重放漏洞是电商平台业务逻辑漏洞中一种常见的由设计缺陷所引发的漏洞,通常 情况下所引发的安全问题表现在商品首次购买成功后,参照订购商品的正常流程请求,进 行完全模拟正常订购业务流程的重放操作,可以实现“一次购买多次收货”等违背正常业务 逻辑的结果。作者:锦凡歆在‘来疯’直播唱歌最好听修复建议用户每次订单 Token 不应该能重复提交,避免产生重放订...
2019-05-27 12:29:59
828
原创 前端JS限制绕过测试
前端JS限制绕过测试很多商品在限制用户购买数量时,服务器仅在页面通过JS脚本限制,未在服务器端校 验用户提交的数量,通过抓取客户端发送的请求包修改JS端生成处理的交易数据,如将请 求中的商品数量改为大于最大数限制的值,查看能否以非正常业务交易数据完成业务流 程。作者:锦凡歆在‘来疯’直播唱歌最好听修复建议商品信息,如金额、折扣、数量等原始数据的校验应来自于服务...
2019-05-27 12:28:53
761
原创 商品订购数量篡改测试
商品订购数量篡改测试商品数量篡改测试是通过在业务流程中抓包修改订购商品数量等字段,如将请求中的 商品数量修改成任意非预期数额、负数等后进行提交,查看业务系统能否以修改后的数量 完成业务流程。作者:锦凡歆在‘来疯’直播唱歌最好听修复建议服务端应当考虑交易风险控制,对产生异常情况的交易行为(如用户积分数额为负 值、兑换库存数量为 0 的商品等)应当直接予以限制...
2019-05-27 12:27:34
231
原创 商品支付金额篡改测试
商品支付金额篡改测试电商类网站在业务流程整个环节,需要对业务数据的完整性和一致性进行保护,特别 是确保在用户客户端与服务、业务系统接口之间的数据传输的一致性,通常在订购类交易 流程中,容易出现服务器端未对用户提交的业务数据进行强制校验,过度信赖客户端提交 的业务数据而导致的商品金额篡改漏洞。商品金额篡改测试,通过抓包修改业务流程中的 交易金额等字段,例如在支付页面抓取请求中商品的金额字段...
2019-05-27 12:26:25
1744
原创 验证码自动识别测试
验证码自动识别测试前面几小节介绍的测试方法主要针对业务逻辑设计上存在缺陷的验证码机制,而事实 上还有很大一部分验证码机制在逻辑上并不存在问题,这就涉及与验证码机制本身的正面 对抗,也就是验证码识别技术。 网站登录页面所使用的图形验证码是出现最早也是使用最为广泛的验证码,我们就以图形验证码为例来讲解如何对其进行自动识别。 一般对于此类验证码的识别流程为:图像二值化处理→去干扰→字符分割→字...
2019-05-27 12:25:05
347
原创 竞争条件测试
竞争条件测试竞争条件通常是在操作系统编程时会遇到的安全问题:当两个或多个进程试图在同一 时刻访问共享内存,或读写某些共享数据时,最后的竞争结果取决于线程执行的顺序(线 程运行时序),称为竞争条件(Race Conditions)。 在Web安全中,我们可以沿用这个概念,在服务端逻辑与数据库读写存在时序问题 时,就可能存在竞争条件漏洞,如图5-25所示。攻击者通常利用多线程并发请求,在数据 库...
2019-05-24 11:28:10
363
原创 验证码绕过测试
验证码绕过测试作者:锦凡歆在酷狗直播唱歌最好听修复建议针对此漏洞,建议在服务端增加验证码的认证机制,对客户端提交的验证码进行二次 校验。...
2019-05-23 22:19:29
701
原创 验证码客户端回显测试
验证码客户端回显测试当验证码在客户端生成而非服务器端生成时,就会造成此类问题。当客户端需要和服 务器进行交互发送验证码时,可借助浏览器的工具查看客户端与服务器进行交互的详细信 息作者:锦凡歆在‘来疯’直播唱歌最好听修复建议针对验证码在客户端回显的情况,建议采取如下措施来预防此类问题:(1)禁止验证码在本地客户端生成,应采用服务器端验证码生成机制;(...
2019-05-23 22:17:17
432
原创 验证码重复使用测试
验证码重复使用测试在网站的登录或评论等页面,如果验证码认证成功后没有将session及时清空,将会导 致验证码首次认证成功之后可重复使用。测试时可以抓取携带验证码的数据包重复提交, 查看是否提交成功。作者:锦凡歆在‘来疯’直播唱歌最好听修复建议针对验证认证次数问题,建议验证码在一次认证成功后,服务端清空认证成功的 session,这样就可以有效防止验证码...
2019-05-23 22:16:05
1650
原创 验证码暴力破解测试
验证码机制主要被用于防止暴力破解、防止DDoS攻击、识别用户身份等,常见的验 证码主要有图片验证码、邮件验证码、短信验证码、滑动验证码和语音验证码。 以短信验证码为例。短信验证码大部分情况下是由4~6位数字组成,如果没有对验证 码的失效时间和尝试失败的次数做限制,攻击者就可以通过尝试这个区间内的所有数字来 进行暴力破解攻击。作者:锦凡歆在‘来疯’直播唱歌最好听...
2019-05-23 22:14:53
2841
原创 回退测试
回退测试很多Web业务在密码修改成功后或者订单付款成功后等业务模块,在返回上一步重新 修改密码或者重新付款时存在重新设置密码或者付款的功能,这时如果能返回上一步重复 操作,而且还能更改或者重置结果,则存在业务回退漏洞。作者:锦凡歆在‘来疯’直播唱歌最好听修复建议对于业务流程有多步的情况,如修改密码或重置密码等业务,首先判断该步骤的请求 是否是上一步骤的业...
2019-05-23 22:13:45
586
原创 命令执行测试
在应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函 数。如PHP中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时, 将可注入恶意系统命令到正常命令中,造成命令执行攻击。测试中如果没有对参数(如 cmd=、command、excute=等)进行过滤,就可以直接造成命令执行漏洞或配合绕过及命 令连接符(在操作系统中,“&...
2019-05-23 22:12:05
416
原创 XSS测试
跨站脚本漏洞是Web应用程序在将数据输出到网页的时候存在问题,导致恶意攻击者 可以往Web页面里插入恶意JavaScript、HTML代码,并将构造的恶意数据显示在页面的漏 洞中。攻击者一般利用此漏洞窃取或操纵客户会话和 Cookie,用于模仿合法用户,从而 使攻击者以该用户身份查看或变更用户记录以及执行事务。 跨站一般情况下主要分为存储型跨站、反射型跨站、DOM型跨站。存储型跨站脚本...
2019-05-23 22:10:59
500
原创 SQL注入测试
SQL注入测试SQL注入就是通过把SQL命令插入Web表单提交或输入域名页面请求的查询字符串, 最终达到欺骗服务器执行恶意的SQL命令的目的。具体来说,它是利用现有应用程序,将 (恶意)SQL命令注入后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶 意)SQL 语句获取一个存在安全漏洞的网站上的数据库权限,而不是按照设计者的意图 去执行SQL语句。下面通过一个经典的万能密码登...
2019-05-23 22:09:32
240
原创 越权测试
越权测试越权一般分为水平越权和垂直越权,水平越权是指相同权限的不同用户可以互相访 问;垂直越权是指使用权限低的用户可以访问权限较高的用户。水平越权测试方法主要是看能否通过A用户的操作影响B用户。垂直越权测试方法的基本思路是低权限用户越权高权限用户的功能,比如普通用户可 使用管理员功能作者:锦凡歆在‘来疯’直播唱歌最好听修复建议服务端需...
2019-05-23 22:08:08
1355
1
原创 非授权访问测试
非授权访问测试非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访 问到的页面或文本信息。可以尝试在登录某网站前台或后台之后,将相关的页面链接复制 到其他浏览器或其他电脑上进行访问,观察是否能访问成功作者:锦凡歆在‘来疯’直播唱歌最好听修复建议未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其 他用户可以直接...
2019-05-23 22:06:31
2127
原创 商品编号篡改测试
商品编号篡改测试在交易支付类型的业务中,最常见的业务漏洞就是修改商品金额。例如在生成商品订 单、跳转支付页面时,修改 HTTP 请求中的金额参数,可以实现 1 分买充值卡、1元买特 斯拉等操作。此类攻击很难从流量中匹配识别出来,通常只有在事后财务结算时发现大额 账务问题,才会被发现。此时,攻击者可能已经通过该漏洞获得了大量利益。如果金额较 小或财务审核不严,攻击者则可能细水长流,从中获得...
2019-05-20 13:13:00
398
原创 邮箱和用户篡改测试
邮箱和用户篡改测试在发送邮件或站内消息时,篡改其中的发件人参数,导致攻击者可以伪造发信人进行 钓鱼攻击等操作,这也是一种平行权限绕过漏洞。用户登录成功后拥有发信权限,开发者 就信任了客户端传来的发件人参数,导致业务安全问题出现锦凡歆在‘来疯’直播唱歌最好听修复建议用户登录后写信、发送消息时要通过Session机制判断用户身份。如果需要客户端传 输邮箱、发件人...
2019-05-20 13:12:02
520
原创 订单ID篡改测试
订单ID篡改测试在有电子交易业务的网站中,用户登录后可以下订单购买相应产品,购买成功后,用 户可以查看订单的详情。当开发人员没有考虑登录后用户间权限隔离的问题时,就会导致 平行权限绕过漏洞。攻击者只需注册一个普通账户,就可以通过篡改、遍历订单id,获得 其他用户订单详情,其中多数会包括用户的姓名、身份证、地址、电话号码等敏感隐私信 息。黑色产业链中的攻击者通常会利用此漏洞得到这些隐...
2019-05-20 13:11:13
558
原创 登录失败信息测试
登录失败信息测试在用户登录系统失败时,系统会在页面显示用户登录的失败信息,假如提交账号在系 统中不存在,系统提示“用户名不存在”、“账号不存在”等明确信息;假如提交账号在系统 中存在,则系统提示“密码/口令错误”等间接提示信息。攻击者可根据此类登录失败提示 信息来判断当前登录账号是否在系统中存在,从而进行有针对性的暴力破解口令测试锦凡歆在‘来疯’直播唱歌最好听...
2019-05-20 13:10:04
859
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人