【安全】Web应用常见业务逻辑漏洞

已于 2024-01-05 19:34:53 修改
阅读量464 收藏
点赞数
文章标签: 安全 前端 网络 网络安全 安全架构 自动化 web安全
于 2023-11-02 22:16:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jennycisp/article/details/134192424
版权

1 短信炸弹

  • 漏洞描述

短信轰炸攻击是常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞。

  • 渗透测试
  1. 手工找到有关网站注册页面,认证页面,是否具有短信发送页面,如果有,则进行下一步。
  2. 通过利用burp或者其它抓包截断工具,抓取发送验证码的数据包,并且进行重放攻击,查看手机是否在短时间内连续收到10条以上短信,如果收到大量短信,则说明存在该漏洞。
  • 风险评级:
  1. 可对任意手机号轰炸判定为高风险
  2. 只可对当前手机号轰炸或单个手机号码做了限制,但变换手机号码仍然可以不断发送的,判定为低风险。
  • 安全建议
  1. 合理配置后台短信服务器的功能,对于同一手机号码,同一验证发送次数不超过5-10次,且对发送时间间隔做限制
  2. 当发送超过一定次数(可以为0),加入验证码验证。

2 邮件炸弹

  • 漏洞描述

应用系统未限制邮件的发送次数和频率,造成短时间内大量邮件发送至接收者邮箱,造成大量垃圾邮件。

  • 渗透测试
  1. 手工找到有关网站注册页面,认证页面,是否具有邮件发送页面,如果有,则进行下一步
  2. 通过利用burp或者其它抓包截断工具,抓取发送邮件的数据包,并且进行重放攻击,查看邮箱是否在短时间内连续收到10封以上邮件,如果收到大量邮件,则说明存在该漏洞
  • 风险评级:
  1. 可对任意邮箱轰炸,判定为高风险。
  2. 只可对当前邮箱轰炸,判定为低风险。
  • 安全建议
  1. 合理配置后台邮件服务器的功能,对于同一邮箱,同一验证发送次数不超过5-10次,且对发送的时间间隔做限制。
  2. 当发送超过一定次数(可以为0),加入验证码验证。

3 短信定向转发

  • 漏洞描述

短信接收人可任意指定

  • 渗透测试

拦截发送短信的请求,将手机号改为测试人员的手机号,测试是否可接收短信验证码。

  • 风险评级:高风险
  • 安全建议
  1. 发送短信时手机号从当前会话中获取,避免从前端传入
  2. 用户的手机号不能随意变动,需要认证过程。

4 邮件可定向转发

  • 漏洞描述

应用系统发送邮件的接收人可由客户端任意指定

  • 渗透测试

拦截发送邮件的请求,将接收人邮箱改为测试人员的邮箱地址,测试是否可接收邮件。

  • 风险评级:高风险
  • 安全建议
  1. 发送邮件时邮箱从当前会话中获取,避免从前端传入
  2. 用户的邮箱不能随意变动,需要认证过程。

5 任意用户密码修改/重置

  • 漏洞描述

可通过篡改用户名或ID、暴力破解验证码等方式修改/重置任意账户的密码。

  • 渗透测试

密码修改的步骤一般是先校验用户原始密码是否正确,再让用户输入新密码。

修改密码机制绕过方式大概有以下三种:

  1. 如果输入新密码的接口可以直接访问,那么在未知原始密码的的情况下即可直接修改密码,通常知道了他人的用户名即可任意修改他人的密码。
  2. 如果系统未校验修改密码的用户身份,那么在提交修改密码请求时,攻击者通过输入密码,将用户名或者用户ID修改为其他人的,即可成功修改他人的密码。
  3. 当修改密码时系统需要电子邮件或者手机短信确认,而应用程序未校验用户输入的邮箱和手机号,那么攻击者通过填写自己的邮箱或手机号接收修改密码的链接和验证码,以此修改他人的密码。

密码重置机制绕过攻击方式主要有以下两种:

  1. 通过正常手段获取重置密码的链接,猜解链接的组成结构和内容(如用户名或者时间戳的MD5值)。在得知他人邮箱的情况下,构造重置他人密码的链接。
  2. 在得知他人手机号的情况下,通过穷举手机验证码重置他人的密码。
  • 风险评级:高风险
  • 安全建议
  1. 一次性填写校验信息(原始密码、新密码等)后再提交修改密码请求
  2. 对客户端提交的修改密码请求,应对请求的用户身份与当前登录的用户身份进行校验,判断是否有权修改用户的密码
  3. 使用手机或邮箱进行验证时,要与修改密码的用户一一对应,且验证码仅一次有效,验证之后即失效,避免暴力破解
  4. 对原始密码进行了验证的情况下,限制输入原始密码的错误次数,防止攻击者暴力破解原始密码
  5. 重置密码链接中的关键信息应随机化,不可预测(例如token机制),且禁止将关键信息返回到客户端

6 SSO认证缺陷

  • 漏洞描述

SSO认证存在缺陷,可越权登录他人账户。

  • 渗透测试

1、信息传输缺乏安全保证

SSO认证通信过程中大多数采用明文形式传送敏感信息,这些信息很容易被窃取,致使重要信息泄露。另外,在通信过程中大多数场景没有对关键信息进行签名,容易遭到伪装攻击。

2、利用Web服务的安全缺陷

由于单点登录基本上是基于Web服务实现的,所以也不可避免的存在Web服务的安全缺陷,如跨站脚本攻击、越权攻击等。

  • 风险评级:高风险
  • 安全建议
  1. 建议在不影响业务的前提下,使用HTTPS协议传输
  2. 严格校验SSO认证过程中的用户身份
  3. 过滤用户传入的参数,对特殊符号进行转义或屏蔽。

7 越权

  • 漏洞描述

越权访问,这类漏洞是指应用在检查授权(Authorization)时存在纰漏,使得攻击者在获得低权限用户帐号后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查中,这类漏洞往往很难通过工具进行自动化检测,因此在实际应用中危害很大。其与未授权访问有一定差别。

  • 渗透测试
  1. 以超管 admin(高权限用户) 身份登录系统
  2. 找到一个只有超管(高权限)才有的功能的链接,比如:“http://localhost/userManage/userList.do” , 显示出所有的user,并复制此链接。
  3. 以普通用户登陆进系统,在地址栏输入: userManage/userList.do,确认是否可以查看到其所有的user
  4. 还可以测试同级别用户的横向越权访问
  • 风险评级:高风险
  • 安全建议

对用户操作进行权限校验,防止通过修改参数进入未授权页面及进行非法操作,建议在服务端对请求的数据和当前用户身份做一个校验检查。

8 恶意锁定问题

  • 漏洞描述

通过不断的输入错误的密码可恶意锁定任意账号

  • 渗透测试

针对测试账户,不断输入错误的密码,直至将其锁定。

  • 风险评级:
  1. 锁定账户之后,可继续使用认证功能,导致可批量自动化账户锁定,为中风险。
  2. 锁定账户之后,可继续使用认证功能,但认证存在防自动化功能,为低风险。
  • 安全建议
  1. 账户锁定之后应不能继续使用认证功能,如对请求IP进行一个限制,一段时间之后才可以继续尝试认证
  2. 认证功能防自动化操作,如添加图形验证码。

9 负值反冲/正负值对冲

  • 漏洞描述

应用程序未校验订单数据的取值范围,交易存在负值反冲或正负值对冲

  • 渗透测试
  1. 提交订单时拦截请求,修改订单参数为负数,如商品单价、数量、总价等。
  2. 提交订单(包含多种商品)时拦截请求,修改部分商品的单价或数量,保证订单总金额为正数。
  • 风险评级:高风险
  • 安全建议
  1. 服务器端在生成交易订单时,商品的价格从数据库中取出,禁止使用客户端发送的商品价格。
  2. 服务器端对客户端提交的交易数据(如商品ID、商品数量、商品价格等)的取值范围进行校验,将商品ID和商品价格与数据库中的数据对比校验,商品数量为大于零的整型数。
  3. 服务器端在生成支付订单时,对支付订单中影响支付金额的所有因素(比如商品ID、商品数量、商品价格、订单编号等)进行签名,对客户端提交的支付订单进行校验。

10 业务流程跳跃

  • 漏洞描述

业务逻辑流程分步骤进行且能越过中间校验步骤直接进行后续操作,导致中间校验等步骤失效。

  • 渗透测试
  1. 首先完成正常的业务逻辑步骤,获取每一个步骤的请求;
  2. 绕过中间步骤,直接访问最后一个或几个验证请求,看是否可绕过。
  • 风险评级:高风险
  • 安全建议

建议在不影响业务的前提下,在Session中添加对每一步流程页面的校验标志位,在新步骤页面浏览过程前要检测之前每一步的session标志位,且要与用户身份强绑定。

10.1 密码修改/重置流程跳跃(特殊场景)
  • 漏洞描述

密码修改功能常采用分步骤方式来实现,攻击者在未知原始密码的情况下绕过某些检验步骤修改用户密码。

  • 渗透测试
  1. 完成修改/重置密码的正常流程,判断验原密码步骤成功的标识是否可伪造
  2. 绕过检验原密码等步骤,直接访问输入新密码接口,输入新密码,修改/重置密码。
  • 风险评级:高风险
  • 安全建议

一次性填写校验信息(原始密码、新密码等)后再提交修改/重置密码请求

爱家人,爱生活,爱设计,爱编程,拥抱精彩人生!

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】

在这里插入图片描述

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网络安全技术库
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
实用的业务逻辑漏洞
hackzkaq的博客
05-07 569
传统安全测试主要依靠基于漏洞类型的自动化扫描检测,辅以人工测试,来发现如SQL注入、XSS、任意文件上传、远程命令执行等传统类型的漏洞,这种方式往往容易忽略业务系统业务流程设计缺陷、业务逻辑、业务数据流转、业务权限、业务数据方面的安全风险。 过度依赖基于漏洞的传统安全测试方式脱离了业务系统本身,不与业务数据相关联,很难发现业务层面的漏洞,企业很可能因为简单的业务逻辑漏洞而蒙受巨大损失。 一.登录认证模块 1.暴力破解测试 概述 暴力破解测试是指针对应用系统用户
短信验证码测试——短信轰炸之横向轰炸和纵向轰炸
热门推荐
unisms88的博客
06-23 1万+
短信轰炸也分为水平轰炸和垂直轰炸。按字面意思猜一下,就像这样。据我所知,目前还有很多短信接口可以被水平轰炸,尤其是在网页中,没有对短信接口做一些必要的限制,导致无限呼叫和滥用的存在。 因为手机号码格式比较固定,从1开始,中文11位等,可用代码,存储过程瞬时批量生成100W手机号码。 现有的工具,如Jmeter,通过CSV配置文件导入生成的电话号码,并通过HTTP请求发送它们。您还可以启动一定数量的线程,每分钟向100W个电话号码发送文本消息。假设一条短信1分钱,那一分钟就有1W元被发送出去的短信发送出去,但
漏洞解决方案-短信验证
smart的博客
08-21 4785
漏洞解决方案-短信验证漏洞解决方案-短信验证码防护方案 漏洞解决方案-短信验证码 防护方案 IP限定——根据自己的业务特点,设置每个IP每天的最大发送量(防止攻击者对服务器进行大量无效请求(在图片验证码未破解的情况下,自动化工具形成错误请求,增加服务器负担) 短信发送间隔设置——设置同一号码重复发送的时间间隔,一般设置为60-120秒(防止对单个用户形成手工攻击;防止图片验证码失效后对用户形成大量攻击。) 手机号码限定——根据业务特点,设置每个手机号码每天的最大发送量 流程限定——将手机短
短信验证常见漏洞总结
李秀才的博客
03-04 1万+
使用短信验证码验证身份已经是很普遍的了,注册和忘记密码时最为常见。但是在实际应用中,很多产品的短信验证接口存在诸多漏洞,很多人在开发中也是没有注意到这些问题,因此呢给企业和个人造成不必要的损失。接下来我将常见漏洞总结如下: 一:短信轰炸漏洞 发送短信接口是最容易被盗刷的接口,不法分子利用接口的漏洞,任意的发送短信,给企业造成直接的经济损失。因此这个要特别注意,主要防御手段有四: (一)同一...
web常见安全漏洞描述及解决方案
赵忠洋的博客
09-01 907
通过前端调用三方接口获得数据,后续发给服务端。通过访问发送验证码接口,手机号字段尾随无意义字符串例如 空格、加号等 进行频繁短信发送。使用获取到的真实TOKEN,通过获取订单详情接口枚举订单号拿到用户订单信息。数据未脱敏返回前端,攻击者可通过结合中间人攻击的方式获取未脱敏的敏感信息。通过提交错误信息导致服务端接口报错,从而获取服务端程序调用栈信息。通过获取到的TOKEN中的用户ID与实际操作的用户ID做比对。对验证码的失效时间和尝试失败的次数进行相关的限制。通过访问发送验证码接口,进行频繁短信发送。...
短信轰炸漏洞绕过的多种方法技巧
渗透测试研究中心
04-06 602
在测试甲方业务或者挖 SRC 等业务的时候,经常碰到发送短信验证的地方,我们可以联想到的就是任意用户登陆、短信轰炸、任意用户修改密码等逻辑性的漏洞, 简单的漏洞也是需要清晰的思维分析,拿几个短信轰炸多个绕过案例分享,高危挖不动低危拿来凑。发送短信的时候是 11 位数,但是数据库没有限制字段长度为 11,通过添加空格绕过了原有的校验,但是后台发送号码的时候,取有效字符前面的字段,导致了出现被绕过的方法。这一个漏洞的话, 一般是前台输入手机号码, 发送请求 到后台判断是否可以执行发送请求。
业务逻辑漏洞
qq_53633989的博客
05-11 655
业务逻辑漏洞产生的原因业务测试流程:以电商为例:业务场景。
常见业务逻辑漏洞-整合篇
weixin_48421613的博客
10-28 1万+
笔者前言: 作为一个地地道道的安服仔,每日的工作就是渗透测试,在测试的过程中累积了很多的经验,看到了各种各样奇葩的漏洞,于是乎便有了这样的一篇文章。以下文章均由本人测试发现并打码,侵删 什么是业务逻辑漏洞 业务逻辑漏洞就是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改、越权访问、密码找回、交易支付金额等功能处。 逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理不严密或代码问题或固有不足,进行漏洞利用的一个方式。 既然提到了完整性,相信大家在漏洞挖掘的时候经
业务逻辑漏洞总结
qq_48904485的博客
03-22 7140
一、漏洞简介 业务逻辑漏洞产生的最核心原因,就是在编写程序时,只考虑了常规的操作流程,即“当在A情况下,就会出现B,此时执行C即可”,但是开发者却没有考虑当用户执行了意料之外的X时会发生什么。这种对于异常情况的欠考虑,最终导致了安全漏洞的产生。 应用中的缺陷通常分为两种类型: 在不同的应用中有相同的特征 与应用程序/业务领域严格相关 其中第一种类型的缺陷,就是类似SQL注入、XSS之类的常规漏洞。这一类漏洞的产生,主要是因为应用程序依赖用户的输入来执行某些重要的功能,但是在用户输入了一些非法字符时,应用
理解这几个安全漏洞,你也能做安全测试
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
06-30 693
短信轰炸攻击是常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞
Web安全测试中常见逻辑漏洞解析
06-23
相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。今天漏洞盒子安全...
Web安全测试中常见逻辑漏洞解析(实战篇)
01-29
相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。今天漏洞盒子安全...
web安全常见漏洞浅析
01-08
Web 安全常见漏洞浅析对 Web 业务逻辑缺陷和应用逻辑漏洞进行了浅析,涵盖验证码缺陷、越权、加密脆弱、前端校验绕过、处理流程缺陷等。开发者和安全专家需要了解这些漏洞,并采取相应的安全措施来保护 Web 应用程序...
Web应用安全评估参考手册
09-05
为80页PDF文件,包括最常见web... 信息泄露、信息猜解、防护功能失效、业务逻辑漏洞、重放攻击、权限缺失、综合利用、中间件以及框架常见漏洞、其他的常见漏洞 漏洞的归类划分界限并没有那么清晰,大家可以忽略
逻辑漏洞利用
Forget_liu的博客
04-06 557
此处验证码爆破通常是指手机短信验证的方式,由于没有对输入同一个验证码的次数做限制,并且验证码的内容太简单,例如4位或者6位的纯数字组成。在支付过程中发生用户替换现象,首先登陆自己的账户,然后取得另外一个人的账户名等有效信息,在业务流程中用对方的用户名替换自己的用户名,用对方的余额购买完成后,再替换自己的账户名,这样就形成别人的钱买自己的东西。首先,输入错误的验证码,进行抓包重放一次,观察验证的返回的数据包内容,再用正确的验证码再进行抓包重放,对比两个数据包的差异,然后根据这些差异验证码是否失效。
获取短信验证码接口存在短信资源消耗漏洞
weixin_45979191的博客
07-16 375
获取短信验证码接口存在短信资源消耗漏洞
漏洞挖掘思路短信验证码相关的逻辑漏洞
最新发布
yuan_boss的博客
08-18 2058
​ 在漏洞挖掘中,我们经常遇到具有验证码功能的网站,例如登录,注册,找回密码,领取优惠券,修改信息等地方,几乎都有用到获取验证码,验证码一般都是4位的或者6位的,以下一些技巧很多都是针对增加提交企业SRC漏洞审核成功率的。1、验证码爆破2、验证码回显3、验证码与手机未绑定认证关系4、修改返回包绕过验证码5、验证码转发6、任意验证码登录7、验证码为空登录8、固定验证码登录9、验证码轰炸​ 通过以上短信验证证明逻辑漏洞的详解,相信读者们能充分意识到信息收集的重要性。
网络逻辑漏洞、SQLMAP、Nmap、burpsuite及其命令的使用方法
weixin_65695770的博客
04-07 4088
SQLMAP sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试神器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, PostgreSQL, SQL Server, Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 sqlmap支持五种不同的注入模
web安全逻辑漏洞的请求重放实验的实验结果是什么?说明了什么?通过本次实验我学到了什么?
06-10
请求重放攻击是一种常见安全漏洞,攻击者通过拦截并重复发送合法用户的请求,来欺骗服务端执行重复操作或者获取敏感信息。逻辑漏洞则是指由于业务逻辑上的缺陷导致的安全漏洞。 在请求重放实验中,我们可以通过抓包工具捕获合法用户发送的请求,并将其保存下来。然后我们可以使用这些请求的数据来构造恶意请求,以模拟攻击者发送请求的场景。通过实验,我们可以了解到服务端如何处理恶意请求,以及恶意请求对应用程序的影响。 通过本次实验,我们可以学到很多关于Web安全方面的知识,例如:请求重放攻击、逻辑漏洞、会话管理、输入验证、数据加密等。学习这些知识可以帮助我们更好地保护Web应用程序,并且让我们更好地理解Web安全的原理和实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络安全技术库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值