逻辑越权之水平垂直越权
1.分类
水平越权:通过更新某个ID之类的身份标识,从而使A账号获取(修改,删除)B账号数据。
垂直越权:用低权限身份的账号,发送高权限账号才能有的请求。
未授权访问:通过删除请求中的认证信息后重放该请求,依旧可以访问或完成操作。
2.垂直访问
A.登录时抓取修改即可管理员登录。
B.普通用户登录,用管理员操作数据包以普通用户cookie执行。
其他包从哪里来的问题:1.抓包<普通用户前端有操作界面可以抓包>
2.通过网站源码本地搭建模型抓取
3.盲猜<经验>
3.原理
前端安全造成:界面
判断用户等级后,代码界面部分进行可选显示
后端安全造成:数据库
如果在访问网站数据包中有传输用户的编号,用户组编号,类型编号时,尝试对这个值进行修改,就是测试越权漏洞的基本。
4.工具
burp中插件:authz
谷歌插件:authcheck
工具:https://github.com/ztosec/secscan-authcheck
5.修复
前后端同时对用户输入信息进行校验,双重验证机制
调用功能前验证用户是否有权限调用相关功能
执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限
直接对象引用的加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理
永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤
逻辑越权之登录脆弱及支付篡改安全
1.爆破是注意:
注意网站是否采用加密的形式,如果采用要先明白什么加密才能暴力破解。
爆破字典:https://github.com/huyuanzhiz/password_brute_dictionary
参考文字:secpulse.com/archives/67080.html 支付漏洞
常见篡改参数:
商品编号id
购买价格
购买数量
支付方式
订单号
支付状态
常见修改方法:
替改支付
重复支付
最小额支付
负数支付
溢出支付
优惠券支付等
逻辑越权之找回机制及接口爆破
1.找回重置机制
客户端显示:response状态值,验证码爆破,找回流程绕过等。
2.接口调用乱用
短信轰炸,来电轰炸
3.burp抓住发出且抓住回显
右键dointercept->response to this request.
逻辑越权之验证码与token及接口
1.验证安全:token: 爆破,回显,固定
验证码:爆破,识别,复用,回显,绕过。
2.验证码识别插件及工具操作演示--实例。
pkav HTTP Fuzzer
插件:
新版:https://github.com/cony1/captcha-killer/releases/tag10.1.2
旧版:https://github.com/bit4woo/reCAPTcH/releases/tagl1.0
3.验证码绕过:
若未在用后删除验证码变量,可重复利用。<服务端验证>
前端验证:抓包放入burp,可跳过本地验证,直接发送。
token:token客户端回显,可用burp逐一使用。