Webug4.0靶场通关笔记18- 第23关支付价格修改

于 2025-05-06 19:03:13 发布
阅读量961 收藏 7
点赞数 17
分类专栏: webug靶场 文章标签: web安全 webug靶场 支付漏洞 逻辑漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/147722100
版权
#王者杯·14天创作挑战营·第1期#

目录

第23关 支付价格修改

1.原理分析

2.打开靶场

3.购买商品

4.源码分析

5.修改价格

(1)URL修改

(2)bp修改抓包改价格

6.防御方法

本文通过《webug4.0靶场第23文件上传之支付价格修改》对客户端前端和服务端的代码进行审计,基于代码审计来分析渗透思路并进行渗透实战。

第23关 支付价格修改

1.原理分析

很多中小型的购物网站都存在【订单金额任意修改】的逻辑处理问题。在提交订单的时候抓取数据包或者直接修改前端代码,然后对订单的金额任意修改。
经常见到的参数大多为:rmb 、value 、amount 、cash 、fee 、money 等。

支付逻辑漏洞是电子商务系统中危害性极高的安全风险,攻击者通过利用业务逻辑缺陷绕过正常支付流程,可能导致企业重大经济损失。主要利用方式如下所示。

Vulnerability利用方法实际案例
价格篡改修改前端提交的价格参数amount=100改为amount=0.01
负数交易提交负数数量或价格quantity=-1导致账户余额异常增加
重复提交拦截支付请求重复提交利用网络延迟多次提交同一订单
状态覆盖直接调用支付成功接口跳过支付流程直接访问/pay/success
优惠券滥用无限使用单次优惠券/暴力破解优惠码重放优惠券使用请求
时间竞争在支付超时前取消请求支付系统处理完成前取消订单

2.打开靶场

http://192.168.71.1/webug4/control/auth_cross/cross_permission_pay.php

3.购买商品

bp开启抓包功能,在网页上购买商品,尝试是否可以进行价格修改为不合规的值。

选择第一个商品,点击立即购买,竟然直接购买成功了。要知道上图的右上角还有个登录提示框呢。这纯粹是心理安慰型的靶场,不过就当是体验吧一下逻辑支付的效果吧。

注意到此时的url如下所示。

http://192.168.71.1/webug4/control/auth_cross/cross_permission_pay.php?price=100

4.源码分析

如下所示,这确实就是意识流的支付逻辑处理错误,点击购买即购买成功,因此存在支付价格修改这个安全问题。

<?php

require_once "../../common/common.php";
if (!isset($_SESSION['user'])) {
    header("Location:../login.php");
}

if (isset($_GET['price'])) {
    if (!empty($_GET['price'])) {
        $price = $_GET['price'];
        echo "<script>alert('您花费了{$price}元购买了商品')</script>";

    }
}


require_once TPMELATE."/cross_permission_pay.html";

5.修改价格

(1)URL修改

将价格改为0.0.1元,如下所示。

http://192.168.71.1/webug4/control/auth_cross/cross_permission_pay.php?price=0.001

尝试将价钱修改为-100元,如下所示购买也成功了。

http://192.168.71.1/webug4/control/auth_cross/cross_permission_pay.php?price=-100

(2)bp修改抓包改价格

bp抓包并发送到repeater,如下所示。

将价钱改为-100元。

如上所示出现乱码,此时可以在bp专业版中配置, User options--->Display--->HTTP Message Display--->Font 选择中文字体,比如宋体、楷体都可以,如下所示。

配置完毕后效果如下所示。

将价钱改为0.01元发包,如下所示渗透成功。

6.防御方法

预防支付逻辑安全问题需要从多个方面入手,包括加强输入验证、加密处理、安全配置、代码审查等,以下是一些常见的预防措施:

  • 输入验证:对用户输入的所有支付相关信息进行严格验证,包括信用卡号、密码、验证码等。使用正则表达式等方法确保输入的格式正确,并且符合预期的规则,防止 SQL 注入、命令注入等攻击。
  • 加密技术:采用强加密算法对支付信息进行加密处理,包括在数据传输过程中使用 SSL/TLS 协议对网络通信进行加密,以及在数据库中对敏感信息如信用卡号、密码等进行加密存储,确保即使数据被窃取,攻击者也难以获取明文信息。
  • 安全配置:合理配置支付系统的服务器和相关软件,及时更新安全补丁,关闭不必要的服务和端口,防止攻击者利用已知的CVE编号进行攻击。同时,设置严格的访问控制权限,确保只有授权的用户和程序能够访问支付相关的资源。
  • 会话管理:建立安全的会话管理机制,生成随机且难以预测的会话 ID,并设置合理的会话超时时间。定期清理过期的会话,防止会话劫持攻击。
  • 代码审查与安全测试:定期对支付系统的代码进行审查,检查是否存在安全问题,如未经验证的输入、未正确处理的异常等。同时,使用专业的安全测试工具对系统进行漏描和渗透测试,及时发现并修复潜在的安全问题。
  • 监控与日志记录:建立完善的监控系统,实时监测支付系统的运行状态,及时发现异常的支付行为和潜在的攻击迹象。同时,详细记录支付相关的操作日志,包括用户登录、支付请求、交易结果等信息,以便在发生问题时能够进行追溯和分析。
  • 第三方接口管理:如果使用第三方支付接口,要与可靠的支付服务提供商合作,并严格按照其规范进行集成。定期检查接口的安全性,确保接口密钥的安全存储和定期更新,验证回调地址的合法性,防止接口被恶意篡改或滥用。
  • 用户教育:向用户提供安全支付的相关知识和提示,如不随意在不可信的网站上输入支付信息,定期更新密码,注意识别钓鱼网站等,提高用户的安全意识,减少因用户自身疏忽导致的支付安全问题。
webug4.0通关笔记---(第一天:布尔注入)
liver100day的博客
04-23 756
布尔注入 页面在执行sql语句后,只会显示两种结果,Tuer or False 也就意味着,它不需要报错,不需要知道准确的字段个数, 归根结底它只心一点: 我们的sql到底有没有被执行成功 在本次注入中,我们会频繁的使用到下面命令: length(str):返回str字符串的长度 substr(str, pos, len):str:要截取的字符串,pos:开始截取的位置,len:截取的长度 将str从pos位置开始截取len长度的字符进 行返回。注意这里的pos位置是从1开始 的,不
Webug4.0靶场通关笔记(第二天)--------延时注入和post注入
Yasso的博客
02-20 891
一、延时注入 延时注入是基于布尔注入的, 简单来说, 是通过if语句返回的真(true)或假(false)来确定是否执行网页延迟响应,当布尔注入不成功时,即不能直接观察页面的返回正常与否来判断sql语句是否执行成功, 我们这时候就可以采用延迟注入。 1.先判断字段数 2.判断数据库(webug) ?id=1’ and if(substr(database(),1,1)=‘w’,1,sleep(5))%23 (判断数据库第一个字母是否为w,是的话页面正常,否则沉睡5秒) ?
Webug4.0靶场通关笔记(第一天)--------显错注入和布尔注入
Yasso的博客
02-20 1139
一、显错注入 打开靶场试试尝试修改为id=2,回显hello。 1、首先判断注入点 插播一条,php版本必须为5.3.29,不然不会报错!!!!!!!!!!!!!!!! 尝试加单引号,会报错, (%23不能在hackbar上输入,否则会一直报错,我们来测试下在hackbar上输的%23到url上变成了%2523,很明显这是#的二次url编码)还是不用hackbar了,也可能是我的hackbar有问题。 ?id=1’ 页面报错 ?id=1’ or 1=1%23 页面显示正常 (这里#貌似被过
Webug4.0通关笔记01-01 显错注入
mooyuan的网络安全博客
04-22 1026
SQL注入主要分析几个内容(1)闭合方式是什么?webug靶场的第01卡为字符型,闭合方式为单引号(2)注入类别是什么?这部分是普通的字符型GET注入,使用union法即可注入成功(3)是否过滤了键字?很明显通过源码,iwebsec的第01卡过滤没有进行任何过滤了解了如上信息就可以针对性使用union查询法进行SQL绕过渗透,使用sqlmap工具渗透更是事半功倍,以上就是今天要讲的webug靶场01注入内容,初学者建议按部就班先使用手动注入练习,再进行sqlmap渗透。t=P1C7。
webug4.0通关笔记----(第一天:显错注入)
liver100day的博客
04-23 814
布尔注入 布尔盲注:根据注入信息返回true or fales 没有任何报错信息 非法的用户可根据返回的报错信息,获取到数据库的重要信息 开始注入 在本次注入中,我们会频繁的使用到下面命令: length(str):返回str字符串的长度。 substr(str, pos, len):str:要截取的字符串,pos:开始截取的位置,len:截取的长度 将str从pos位置开始截取len长度的字符进 行返回。注意这里的pos位置是从1开始 的,不是数组的0开始 mid(str,pos,l
Webug4.0通关笔记04- 第6宽字节注入
mooyuan的网络安全博客
04-29 723
本文通过《Webug4.0通关笔记系列》来进行Webug4.0靶场的渗透实战,本文讲解Webug4.0靶场第6宽字节注入的渗透实战。使用sqlmap进行实践,修改webug06.txt,在注入点id处尾部加上%df 然后加入注释符%23,并在闭合符号'与注释符中间加上*,如下所示。如下所示,渗透成功,flag为dfsadfsadfas。将报文保存为webug06.txt。如上所示,存在宽字节注入漏洞
Webug4.0靶场通关笔记(第三天)--------过滤注入和宽字节注入
Yasso的博客
02-21 847
一、过滤注入 这一为过滤注入,我以为过滤了空格,百度说过滤了select,单独输select会报错。。。。。。。 那这就跟第四POST注入一样,还是搞吧,POST省略了,这个不能省了。。。。。 1.是否报错 加个单引号会报错 2.既然有报错,先判断列数 可以看出有两列,尝试报错注入 union select 1,database()# -------------但页面没有回显,所以不能用显错注入 再次尝试 and 1=1# 和 and 1=2# -----但无论对错,都没有回显 所
Webug4.0通关笔记02- 第2布尔注入与第3延时注入
mooyuan的网络安全博客
04-28 723
卡有点名不副实,不是布尔类型。接下来SQL注入主要分析几个内容(1)闭合方式是什么?webug靶场的第02卡为字符型,闭合方式为单引号(2)注入类别是什么?这部分是普通的字符型GET注入另外仍有时间型盲注,使用union法即可注入成功(3)是否过滤了键字?很明显通过源码,iwebsec的第02和第03卡没有进行任何过滤。
219-6-3Google浏览器书签备份
qq_43046057的博客
06-03 3813
WAF 创建时间 2019-03-11 12:45:27 最后修改 2019-04-03 14:02:50>> 书签名称 链接 添加时间 WEB漏洞测试(二)——HTML注入 & XSS攻击 - CSDN博客 http://www.secsky.cn/216.html 2018-05-15 10:45:24 ModSecurity介绍 - CSDN博客...
渗透学习 webug4.0靶场
07-12
渗透学习 webug4.0靶场 渗透学习 webug4.0靶场 渗透学习 webug4.0靶场
Webug4.0靶场通关笔记(第九天)--------完结篇
Yasso的博客
02-27 1232
一、文件包含漏洞 二、命令执行 三、webshell爆破 四、ssrf 明天就开学了~~唉,剩下的就都打完算了!!! 一、文件包含漏洞 文件包含漏洞在ctf上种类有很多,我接触过的有php伪协议、日志包含、目录遍历、session文件包含等等。全阐述的话我是讲不完(主要还是菜),就拿这webug4.0靶场当例子吧. 打开靶场注意url栏(文件包含直接读取的是文件,而不是文件源码,所以要想办法读取源码(index.php),这里用的是base64读取) ?filename=php://fi
Webug4.0靶场通关笔记(第四天)--------xxe注入和csv注入
Yasso的博客
02-22 949
一、xxe注入 这道题应该是最简单的任意文件读取 打开是一个输入框 在C盘构造一个flag,别问我为啥,我也不知道。。。 bp抓个包 随便输入个什么都有回显,应该是基础的XXE注入 这是一段读取文件的xml<?xml version="1.0"?> <!DOCTYPE ANY [ <!ENTITY B SYSTEM "file:///c:/1.txt"> ]> <xml> <xxe>&B;</xxe&g...
2025蓝桥杯省赛网络安全组wp
2301_79035389的博客
04-27 1611
这个也是在赛后才想明白,aes加密用的是十六字节,将前十一个都填成AAAA发过去,因为ecb模式是分组加密,每一组的加密过程都是一样的,所以不需要写脚本还原加密过程去破解(其实硬写也做不到,因为拿不到key,当时我觉得用户名肯定是key,不然解不了,于是就一直卡在这一步了,实际上用户名是明文),直接将发过来的加密数据取出后几组就是admin的加密了。首先是一个按位与,我们都知道,如果gift的结果是1,那说明参与按位与的两个数在对应位置上一定是1.这道题想到思路了,但是忘记dfs怎么写了,脚本没写出来。
IEEE会议:第十届网络安全与信息工程国际会议(ICCSIE 2025)
iaast的博客
04-28 722
2025西部信息工程与技术学术论坛暨第十届网络安全与信息工程国际会议(10th International Conference on Cyber Security and Information Engineering)将于7月23-25日西宁召开。本届会议由北京工业大学、青海理工学院主办,浙江工业大学协办,IEEE计算机学会(IEEE Computer Society)技术赞助。
网络安全之浅析Java反序列化题目
anquan2233的博客
04-30 1564
这段时间做了几道Java反序列化题目,发现很多题目都是类似的,并且可以通过一些非预期gadget打进去,就打算总结一下常见的题目类型以及各种解法,并提炼出一般性的思维方法。多做题,发现这些题目其实都是有规律的,先发现入口点和限制,再根据已知依赖打gadget,本质上还是要多见多积累。
深入理解网络安全中的加密技术
Thanks_ks 的嵌入式代码熔炉:炼出 STM32 到 RTOS 的极致效能!
04-26 1825
本文深入探讨了加密技术在网络安全中的核心作用,从基础概念到高级应用实践,涵盖对称与非对称加密、常见算法解析、密钥管理、数字签名与证书、HTTPS 安全实现及数据库加密策略。文章还讨论了如何防御中间人攻击,并展望了量子计算带来的挑战及其应对策略。强调持续学习和更新知识以应对新兴安全威胁的重要性。
AI Agents 重塑网络安全运维——T-INNOWARE 即将闪耀迪拜 GISEC GLOBAL 2025
weixin_43735236的博客
05-03 852
本次展会,T-INNOWARE 将以“AI Agents Redefining Cybersecurity Operations &Maintenance”(AI Agents 重塑网络安全运维)为主题,展示其创新的 Security AI(SAI)和 Network Packet Broker(NPB)解决方案,并受邀参与 OSINT 主题演讲,向全球观众展 现 AI如何重塑安全运维的未来。其产品涵盖安全运维、流量分析、API 安全等领域,以“智能、高效、成本优化”为核心竞争力。
网络安全的原理和基本知识点
最新发布
mrzyun0811的博客
05-05 387
Python在网络安全防护中具有广泛的应用,通过利用丰富的库和模块,可以实现网络扫描、漏洞检测、渗透测试、恶意软件分析、防火墙规则管理、Web安全防护、安全日志分析和加密通信等功能,帮助提升网络系统的安全性和抵御潜在威胁的能力。网络安全:保护网络系统和数据免受攻击、损坏或未经授权的访问,确保其机密性、完整性和可用性。使用Python解析和分析系统日志、网络流量日志,检测异常活动,及时发现潜在的安全威胁。使用nmap库进行端口扫描和主机发现,识别网络中的开放端口和服务,发现潜在漏洞
网络安全系列--《文章1:网络安全基础与核心概念》
高效匠人
05-03 392
网络安全是通过技术、管理及法律手段保护网络系统的硬件、软件及数据,使其免受破坏、篡改或泄露,确保系统稳定运行并提供可靠服务。
webug4.0靶场通关越权修改密码
03-20
### Web 安全靶场 Webug 4.0 中越权修改密码的解决方案 在 Web 应用程序的安全测试中,“越权访问”是一种常见的漏洞,指的是未经授权的用户能够执行超出其权限范围的操作。对于 Webug 4.0 靶场中的越权修改密码场景,以下是详细的分析与解决方法。 #### 背景描述 在 Webug 4.0 的设计中,存在一种典型的越权行为模式:攻击者可以通过篡改 HTTP 请求参数(如 `id` 字段),从而冒充其他用户的身份并修改目标用户的密码[^4]。这种漏洞通常源于应用程序未对操作对象的有效性和当前登录用户的权限进行严格验证。 --- #### 技术原理剖析 越权漏洞的核心原因在于服务器端缺乏有效的身份校验机制。具体表现为以下几点: 1. **请求参数未经验证** 当前用户发送的请求可能携带了非法的目标用户 ID 参数(例如 `id=0` 表示管理员)。如果服务端仅依赖前端传递的数据而未进一步确认该数据的真实性,则可能导致越权。 2. **缺少细粒度授权控制** 如果应用未能区分不同角色之间的权限边界,就容易让低权限用户获得高权限功能的使用权。 3. **会话管理不当** 即使实现了基于会话的身份认证,但如果会话状态没有绑定到具体的资源访问上下文中,也可能引发类似的越权问题。 --- #### 解决方案实现 针对上述问题,可以从以下几个方面入手来修复此漏洞: ##### 1. 强化后端逻辑校验 每次接收到涉及敏感操作(如更改密码)的请求时,应强制核对该操作是否由合法主体发起。这可通过比较当前已登录账户的信息与待处理记录所属实体的一致性完成。例如,在 PHP 或 Python 后端代码中加入如下片段以确保只有本人能重置自己的密码: ```php <?php // 假设 $_SESSION['user_id'] 存储着当前登录者的唯一标识符 if ($_POST['target_user_id'] != $_SESSION['user_id']) { die('Access Denied'); // 若两者不符则拒绝继续运行后续脚本 } ?> ``` 或者采用更现代化的语言框架编写类似防护措施: ```python from flask import session, request, abort def change_password(): target_user_id = int(request.form.get('target_user_id')) current_user_id = session.get('user_id') if target_user_id != current_user_id: abort(403) # 返回HTTP Forbidden响应码表示无权访问 # 正常业务流程... ``` 以上两段伪代码均体现了只允许用户对自己账号实施特定变更的原则。 ##### 2. 实施严格的 RBAC (Role-Based Access Control) 引入基于角色的访问控制系统有助于细化各类人员所能触及的功能模块及其内部细节。通过预先定义好的策略组合判定谁可以在何时何地做什么事情,进而减少因疏忽造成的安全隐患。 例如,在 MySQL 数据库表结构层面增加字段用于标记每条记录联的角色类别,并据此调整查询语句条件部分的内容以便筛选出符合条件的结果集之前先过滤掉不符合要求的部分。 ##### 3. 利用 CSRF Token 提升安全性 为了防止恶意站点诱导受害者提交伪造跨站请求(CSRF),建议结合随机生成且难以预测的一次性令牌(Token)一同嵌入至 HTML 表单之中并与对应 Session 绑定起来共同参与最终判断过程。这样即使黑客截获到了原始 POST 请求也无法轻易复制粘贴成功模拟真实交互动作。 --- #### 总结说明 综上所述,要彻底杜绝此类越权现象的发生除了加强开发阶段的设计考量之外还需要持续注最新威胁情报动态及时修补发现的新缺陷。同时也要提醒广大开发者时刻牢记安全第一的理念贯穿整个软件开发生命周期始终。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值