总结:测试逻辑漏洞就是:基本功能(注册登入找回)和业务功能(看对应咯)
具体一点就是拿到测试的目标就开始对基本功能抓包,观察包,观察页面引用对象的(就js页面的情况)然后试着改参数,然后在对业务功能开始,至于最后的爆破和验证码绕过技巧都需要利用到工具
逻辑越权之
水平越权:抓包更换包里面的ID等等参数(观察),然后使得A账号的操作(获取,修改,删除信息)能够影响B用户【这个AB应该是同级的比方我们都是ku狗选手,然后我对我我的操作能够影响到你这个就是水平越权了】【这个其实就是看到别人的信息,不如sql注入,但在这个私密数据非常被看重的时代,这个是被认可的漏洞】
垂直越权:通过获取高权限用户的请求包信息,然后用地权限的用户去发送这个请求包,可以使得这个请求被响应【这个和水平越权的区别就是改的包不是自己的罢了,这个获取高权限请求包的手段应该是嗅探(被动收集)社工手段(主动收集)还可以自己搭建类似的相关平台去模拟高权限用户的请求,获取包结构,还就是猜?(不靠谱)】
原理:可能造成越权的原理是俩方面的可能,一方面是前端界面,判断用户等级后,代码界面部分进行可选显示,而不是判断权限【这个就是看你登入后的,判断你是什么用户,比方管理员用户就给你删除这个按钮,你是普通用户就不给你显示这个按钮,但是虽然不显示不代表你没有权限,所以才有上述的垂直越权的抓高权限包执行高权限请求的操作】,另一方面是后端数据库,普通用户和管理员用户的身份都被存储在同一张表里,而且区分的条件可能就是管理员1用户0【这个感觉理解起来不怎么样,大概就是表结构有问题,很容易被看猜出来,试出来用户判断的权限点】
修复建议:
1.前后端同时对用户的输入信息进行校验,双重验证机制
2.调用功能前判断用户是否有这个使用这个功能的权限【即不能值判断用户等级后不管了】
3.调用关键功能必需要再次验证信息【比方修改密码,就要先确认了原密码,再去修改密码】
4.直接引用的对象资源的ID要加密【就是别让这个图片引用的id直接在包里或者js页面里写着1,应该是要加密的,让大伙看不出这是用什么加密肯定最后,防止你写1我写2试试然后试到了敏感信息】
越权登入:爆破登入账号;HTTP/HTTPS,前者明文被抓包获取;脆弱性cookie【这个是cookie的参数是很明显的有能改的参数】;
数据篡改
思路参考(细致)
找回机制:客户端回显【。。忘了】response状态值【这个就是对服务器的回复包在burp截断(右键然后送到inject那里)然后修改状态值(比方错误的回复值是0正确是1,那返回的时候返回0你就给改成1,这样前端接受回复包的时候就以为是通过的)】
接口轰炸:就是用短信验证码轰炸别人【这里有个坏点子,就是对市面上许多app用A进行批量注册,发送验证码,app越多发送的就越多,能够达到轰炸的目的(ps:害人之心不可有,防人之心不可无/**这咋防?一个一个拉黑?拔卡?**/)】
几个工具的使用
burp的一个模块专门对验证码识别的(可以直接burp扩展里面看看)
burp的一些使用经验,burp的爆破模块的processing自带了对参数的加密功能还有option里面有一个功能可以同步返回前端页面的token值【burpsutie里面的爆破模块的加密还有同步,还有验证码识别的模块】
7290
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
