Web应用安全测试-业务逻辑缺陷

于 2024-06-14 14:56:55 发布
阅读量698 收藏 30
点赞数 23
分类专栏: 网络安全 文章标签: web安全 渗透测试 网络安全 web应用安全 业务逻辑缺陷 业务逻辑篡改 业务功能失效
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lschou/article/details/139681492
版权

Web应用安全测试-业务逻辑缺陷

密码修改/重置流程跨越

漏洞描述:密码修改功能常采用分步骤方式来实现,攻击者在未知原始密码的情况下绕过某些检验步骤修改用户密码。

测试方法:

  1. 完成修改/重置密码的正常流程;
  2. 绕过检验原密码等步骤,直接访问输入新密码页面,输入新密码,修改/重置密码。

风险分析:有些密码修改/重置流程采用step=1、step=2类似的方式实现,如果应用校验不全面,攻击者可绕过前面的步骤,直接访问最后一步,输入新密码进行修改/重置。

风险等级:

高危:绕过原密码验证或绕过验证码

修复方案:一次性填写校验信息(原始密码、新密码等)后再提交修改/重置密码请求。

注意事项:暂无

负值反冲

漏洞描述:应用程序未校验订单数据的取值范围,交易存在负值反冲。

测试方法:提交订单时拦截请求,修改订单参数为负数,如商品单价、数量、总价等。

风险分析:通过篡改订单参数,使得订单金额为负值,在使用余额支付时余额反而增加。

风险等级:

高危:未对数据进行校验,导致业务数据被污染。

修复方案:

  1. 服务器端在生成交易订单时,商品的价格从数据库中取出,禁止使用客户端发送的商品价格。
  2. 服务器端对客户端提交的交易数据(如商品ID、商品数量、商品价格等)的取值范围进行校验,将商品ID和商品价格与数据库中的数据对比校验,商品数量为大于零的整型数。
  3. 服务器端在生成支付订单时,对支付订单中影响支付金额的所有因素(比如商品ID、商品数量、商品价格、订单编号等)进行签名,对客户端提交的支付订单进行校验。

注意事项:暂无

正负值对冲

漏洞描述:应用程序未校验订单数据的取值范围,交易存在正负值对冲。

测试方法:提交订单(包含多种商品)时拦截请求,修改部分商品的单价或数量,保证订单总金额为正数。

风险分析:由于应用会校验订单总金额的取值范围,所以在保证该条件满足的前提下,修改个别商品的数量,达到正负值对冲。

风险等级:

高危:未对数据进行校验,导致业务数据被污染。

修复方案:

  1. 服务器端在生成交易订单时,商品的价格从数据库中取出,禁止使用客户端发送的商品价格。
  2. 服务器端对客户端提交的交易数据(如商品ID、商品数量、商品价格等)的取值范围进行校验,将商品ID和商品价格与数据库中的数据对比校验,商品数量为大于零的整型数。
  3. 服务器端在生成支付订单时,对支付订单中影响支付金额的所有因素(比如商品ID、商品数量、商品价格、订单编号等)进行签名,对客户端提交的支付订单进行校验。

注意事项:暂无

业务流程跳跃

漏洞描述:业务逻辑流程分步骤进行且能越过中间校验步骤直接进行后续操作,导致中间校验等步骤失效。

测试方法:

  1. 首先完成正常的业务逻辑步骤,获取每一个步骤的请求;
  2. 绕过中间步骤,直接访问最后一个或几个验证请求,看是否可绕过。

风险分析:攻击者可利用该漏洞绕过业务流程检测,进行非法修改他人密码等危险操作。

风险等级:

高危:绕过前面的校验步骤,直接跳转至后面的校验步骤。

修复方案:建议在不影响业务的前提下,在Session中添加对每一步流程页面的校验标志位,在新步骤页面浏览过程中,仅能够顺序执行页面校验,不可进行跳步操作,例如:页面二完成后,应更新Flag=3,则仅能够打开页面三。

注意事项:暂无

通配符注入

漏洞描述:允许使用通配符构造语句查询数据库,导致拒绝服务攻击问题。

测试方法:模糊查询时输入第一个字符'%'或'_',sql会遍历全表,导致应用访问缓慢。

风险分析:SQL中通配符的使用如下:

%包含零个或多个字符的任意字符串。

_任何单个字符。

[]指定范围(例如 [a-f])或集合(例如 [abcdef])内的任何单个字符。

[^]不在指定范围(例如 [^a - f])或集合(例如 [^abcdef])内的任何单个字符。

在模糊查询LIKE中,对于输入数据中的通配符必须转义,否则会造成客户想查询包含这些特殊字符的数据时,这些特殊字符却被解析为通配符,数据库响应缓慢,导致拒绝服务攻击。

风险等级:

中危:通配符注入引发数据库响应缓慢

修复方案:有两种将通配符转义为普通字符的方法:

1)   使用ESCAPE关键字定义转义符(通用)

在模式中,当转义符置于通配符之前时,该通配符就解释为普通字符。例如,要搜索在任意位置包含字符串 5% 的字符串,请使用:

       

 WHERE ColumnA LIKE '%5/%%' ESCAPE '/'

2)   在方括号 ([ ]) 中只包含通配符本身,或要搜索破折号 (-) 而不是用它指定搜索范围,请将破折号指定为方括号内的第一个字符。例如:

符号

含义

LIKE '5[%]'

5%

LIKE '5%'

5 后跟 0 个或多个字符的字符串

LIKE '[_]n'

_n

LIKE '[ [ ]'

[

LIKE ']'

]   (右括号不需要转义)

所以,对输入参数的关键字过滤后,还需要做下面转换确保LIKE的正确执行

private static string ConvertSqlForLike(string sql)

{

sql = sql.Replace("[",

"[[]");

// 这句话一定要在下面两个语句之前,否则作为转义符的方括号会被当作数据被再次处理

sql = sql.Replace("_",

"[_]");

sql = sql.Replace("%",

"[%]");

returnsql;

}

注意事项:暂无

亦风亦尘
关注
专栏目录
Web安全测试中常见逻辑漏洞解析
06-23
Web安全测试中的逻辑漏洞是指那些隐藏在业务流程中的安全问题,它们不涉及具体的编程语言漏洞,而是源于应用程序设计上的疏忽或错误。相比于常见的SQL注入和XSS跨站脚本等漏洞,逻辑漏洞的危害可能更大,因为它们...
逻辑漏洞之——业务安全问题
温柔小薛的博客
04-21 497
业务安全问题 一些生产环境中可能出现的实际问题,我认为这不只是渗透测试工程师需要针对的,也是一些开发人员需要意识到的 账户安全 盗号、撞库等身份盗用问题 “撞库”攻击的形式 尝试登录大量【用户名+密码】组合 利用已泄露的多家网站用户数据库 “盗号”产生的风险 用户隐私受影响 账户资金受影响 企业投诉和赔付率上升 对抗手段 验证码识别云平台...
网络安全进阶学习第十六课——业务逻辑漏洞介绍
p36273的博客
09-15 1414
– 实际上,我们口口声声的业务逻辑,是只用代码实现的真实业务的规则映射。注意“规则”这个词,简单说,一个业务中,存在什么逻辑,可以通过在纸上画出不同业务对象之间的联系和约束,并将这些联系和约束一条条列出来,形成一个列表,而这列表中的每一条,就是一条规则,这些规则的总和,就是这个业务业务逻辑,而且是全部业务逻辑,你不能再多列出一条了。
【burpsuite安全练兵场-服务端5】业务逻辑漏洞-11个实验(全)
01-03 9637
【BP靶场portswigger-服务端5-业务逻辑漏洞】11个实验-万文详细步骤
业务逻辑漏洞
m0_60052233的博客
09-08 245
1黑客攻击的目标 ⼀⽅⾯随着社会和科技的发展,购物、社交、P2P、O2O、游戏、招聘等业务纷纷具备了在线⽀付功 能。如电商⽀付系统保存了⽤户⼿机号、姓名、家庭住址,包括⽀付的银⾏卡信息、⽀付密码信息等, 这些都是⿊客感兴趣的敏感信息。攻击者可以利⽤程序员的设计缺陷进⾏交易数据篡改、敏感信息盗 取、资产的窃取等操作。现在的⿊客不在以炫耀技能为主要攻击⽬的,⽽主要以经济利益为⽬的,攻击 的⽬的逐渐转变为趋利化。 另⼀⽅⾯,如今的业务系统对于传统安全漏洞防护的 技术 、 设...
Web 攻防之业务安全:越权访问漏洞 测试.
网络安全领域___专研者.
03-23 8536
逻辑漏洞之越权 概括: 由于没有对用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)范围内的操作。(比如:通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据。 使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。 通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作)
Web安全——逻辑漏洞浅析
最新发布
A_991128a的博客
11-28 940
逻辑漏洞是一种比较常见的漏洞,在漏洞挖掘过程中有时也很容易遇见。
Web 应用安全漏洞原理及测试技术
07-05
最后,逻辑漏洞往往源于应用程序的业务逻辑缺陷。攻击者通过操作应用程序的逻辑流程来执行未授权的操作。例如,通过绕过用户身份验证、利用隐藏的功能或参数来实现操作。防范这类漏洞需要开发者彻底审查应用逻辑,并...
Web安全测试中常见逻辑漏洞解析(实战篇)
04-05
### Web安全测试中常见逻辑漏洞解析 #### 一、订单金额任意修改 **解析:** 在许多中小规模的电子商务平台上,订单金额任意修改的问题极为常见。这种漏洞的存在使得攻击者能够通过修改请求中的某些参数(如`rmb`, ...
Web安全测试Web渗透测试
11-08
首先,逻辑漏洞是由于程序设计上的错误或疏忽导致的安全问题,它们通常不涉及常见的注入或跨站脚本(XSS)攻击,而是利用应用程序的业务逻辑缺陷。例如,在订单金额任意修改的场景中,攻击者通过抓取或篡改数据包,...
wstg:《 Web安全测试指南》是全面的开源指南,用于测试Web应用程序和Web服务的安全
02-05
Web安全测试指南》(WSTG)是Web应用程序和Web服务安全性测试的权威资源,由开放网络应用安全项目(OWASP)维护。这个开源指南提供了详细的步骤、技术和最佳实践,帮助安全专业人员识别和修复可能导致数据泄露、...
渗透测试业务逻辑测试汇总—通用篇
Ms08067安全实验室
07-22 1279
本文作者:Angus(Ms08067实验室 SRSP TEAM小组成员)0x00:前言在漫漫渗透路中,“业务逻辑漏洞“一词,想必各位都不陌生。行业内统一把程序逻辑不严谨或复杂导...
业务逻辑漏洞总结
qq_48904485的博客
03-22 7404
一、漏洞简介 业务逻辑漏洞产生的最核心原因,就是在编写程序时,只考虑了常规的操作流程,即“当在A情况下,就会出现B,此时执行C即可”,但是开发者却没有考虑当用户执行了意料之外的X时会发生什么。这种对于异常情况的欠考虑,最终导致了安全漏洞的产生。 应用中的缺陷通常分为两种类型: 在不同的应用中有相同的特征 与应用程序/业务领域严格相关 其中第一种类型的缺陷,就是类似SQL注入、XSS之类的常规漏洞。这一类漏洞的产生,主要是因为应用程序依赖用户的输入来执行某些重要的功能,但是在用户输入了一些非法字符时,应用
业务安全01】业务安全基础及测试流程
Fighting_hawk的博客
03-17 6287
1. 了解业务安全的背景及重要性。 2. 掌握业务安全测试流程。 3. 掌握理解业务建模和流程梳理的处理思路。 4. 掌握风险点识别的内容。
渗透测试业务逻辑业务数据安全
发哥微课堂
08-06 1839
0x00:前言 上周做渗透,有一个 sql 注入,负责安全审核的人给开发说你们的程序既然还有 sql 注入,我一年也看不见几个。这句话让我又再次深刻的认识到,渗透测试常规的一些注入跨站漏洞不如以前那么盛了,有点经验的开发写东西都会去考虑到了,再加上修复方法也在逐渐的完善,逻辑类的东西也应该并重的去测。 0x01:分类 我把逻辑类的问题大概总结了一下,大概可以分为十个模块,分别是登录认证模块测...
安全测试之逻辑漏洞
NeilNiu
07-10 1503
安全测试之逻辑漏洞
网络安全日常学习之渗透测试思路总结
Innocence_0的博客
10-15 118
Metasploit渗透测试魔鬼训练营》等书已经对渗透测试的步骤流程划分得比较合理透彻了,但感觉在多次通读该类书藉之后仍总感觉不得要领----要对一台给定的主机进行渗透还是不懂到底该如何着手。想来主要是存在以下两个问题。第一个是在渗透操作系统时,最为关键的是从漏洞分析到渗透攻击这一步很难跨越。因为按书中漏洞分析基本只有openvas等漏洞扫描器一条途径,漏洞利用只有Metasploit搜索一条途径;而漏洞扫描器扫出漏洞Metasploit中又正好有利用模块更是少之又少。
实战揭秘:Web安全测试中的逻辑漏洞及其防范策略
在"Web安全测试中常见逻辑漏洞解析(实战篇)"这篇文章中,作者重点探讨了在现代Web应用安全测试中的一个重要问题——逻辑漏洞。与SQL注入、XSS等传统漏洞不同,逻辑漏洞主要源于业务逻辑层面,它们的危害性不容小觑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值