业务安全漏洞挖掘要点
1 身份认证安全
暴力破解
用暴力穷举的方式大量尝试性地猜破密码。 一般包括字典攻击和暴力穷举。
示例
360云盘分享码可以被暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0121646
淘米网登陆不需验证码导致暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0145757
防御方法:
验证码机制,一次请求一次验证码
登录失败处理功能,登录次数限制,锁定功能
二次认证机制
工具:
BurpSuite工具
撞库
示例
百合网暴力破解用户名密码成功率极高 http://www.wooyun.org/bugs/wooyun-2010-091527
华为云服务可以暴力破解和撞库 http://www.wooyun.org/bugs/wooyun-2014-078348
工具:
htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan
撞库攻击防御方式
统一所有登录接口,废弃每个应用单独的登录入口
子主题
弱加密机制
示例:
某在线培训系统Base64编码后通用SQL盲注漏洞 http://www.wooyun.org/bugs/wooyun-2015-0120906
采用md5,base64等密码编码技术
防御方式
未采用hash+salt的方式进行加密
2 业务性一致性安全
业务一致性主要避免用户垂直、平行和任意信息获取。
手机号篡改
通过抓包修改手机号码参数为其他号码尝试获取信息
例如在办理查询页面,输入自己的号码然后抓包, 修改手机号码参数为其他人号码,查看是否能查询其他人的业务。
示例:
国美某分站绑定手机号码任意重置可修改交易密码 http://www.wooyun.org/bugs/wooyun-2010-0166377
邮箱或者用户篡改
抓包修改用户或者邮箱参数为其他用户或者邮箱
示例
绿盟RSAS安全系统全版本通杀权限管理员绕过漏洞,包括最新 RSAS V5.0.13.2 http://www.wooyun.org/bugs/wooyun-2014-074441
订单id篡改
查看自己的订单id,然后修改id(加减一)查看是否能查看其它订单信息。
示例
广之旅旅行社任意访问用户订单 http://www.wooyun.org/bugs/wooyun-2013-044137
商品编号篡改
例如积分兑换处,100个积分只能换商品编号为001, 1000个积分只能换商品编号005, 在100积分换商品的时候抓包把换商品的编号修改为005, 用低积分换区高积分商品。
示例
联想某积分商城支付漏洞再绕过 http://www.wooyun.org/bugs/wooyun-2013-041617
联想积分商城逻辑锉刀导致支付漏洞 http://www.wooyun.org/bugs/wooyun-2013-037058
用户id篡改
抓包查看自己的用户id,然后修改id(加减1)查看是否能查看其它用户id信息。
示例:
拉勾网百万简历泄漏风险 http://www.wooyun.org/bugs/wooyun-2015-0111617
3 业务数据篡改
金额数据篡改
抓包修改金额等字段,例如在支付页面抓取请求中商品的金额字段, 修改成任意数额的金额并提交,查看能否以修改后的金额数据完成业务流程。
示例
12308订单支付时的总价未验证漏洞(支付逻辑漏洞) http://www.wooyun.org/bugs/wooyun-2015-0117083
destoon无限制增加帐号资金 http://www.wooyun.org/bugs/wooyun-2014-050481
商品数量篡改
抓包修改商品数量等字段,将请求中的商品数量修改成任意数额, 如负数并提交,查看能否以修改后的数量完成业务流程。
示例
蔚蓝团支付逻辑漏洞(可负数支付) http://www.wooyun.org/bugs/wooyun-2015-0109037
最大数限制突破
很多商品限制用户购买数量时,服务器仅在页面通过js脚本限制,未在服务器端校验用户提交的数量, 通过抓包修改商品最大数限制,将请求中的商品数量改为大于最大数限制的值, 查看能否以修改后的数量完成业务流程。
本地js参数修改
部分应用程序通过Javascript处理用户提交的请求, 通过修改Javascript脚本,测试修改后的数据是否影响到用户。
4 用户输入合规性
注入测试
xss跨站脚本
Fuzz测试
功能测试用的多一些,有可能一个超长特殊字符串导致系统拒绝服务或者功能缺失。
可能会用的工具 —— spike
其他用用户输入交互的应用漏洞
5 密码找回漏洞
密码找回功能本意是设计给那些忘记密码的用户,以便他们能够找回自己的密码。
示例:
百合网修改任意妹子账号密码漏洞 http://www.wooyun.org/bugs/wooyun-2012-014594
密码找回漏洞总结
http://drops.wooyun.org/web/5048
流程:
i.首先尝试正常密码找回流程,选择不同找回方式,记录所有数据包
ii. 分析数据包,找到敏感部分
iii.分析后台找回机制所采用的验证手段
iv. 修改数据包验证推测
6 验证码突破
验证码不单单在登录、找密码应用,提交敏感数据的地方也有类似应用
验证码暴力破解测试
使用burp对特定的验证码进行暴力破解
盟友88电商平台任意用户注册与任意用户密码重置漏洞打包 http://www.wooyun.org/bugs/wooyun-2015-093932
验证码时间、次数测试
抓取携带验证码的数据包不断重复提交。
例如:在投诉建议处输入要投诉的内容信息,及验证码参数, 时抓包重复提交数据包,查看历史投诉中是否存在重复提交的参数信息。
验证码客户端回显测试
当客户端有需要和服务器进行交互,发送验证码时, 即可使用firefox按F12调出firebug就可看到客户端与服务器进行交互的详细信息
验证码绕过测试
当第一步向第二步跳转时,抓取数据包, 证码进行篡改清空测试,验证该步骤验证码是否可以绕过。
示例
中国电信某IDC机房信息安全管理系统设计缺陷致使系统沦陷 http://www.wooyun.org/bugs/wooyun-2015-098765
验证码js绕过
短信验证码验证程序逻辑存在缺陷, 业务流程的第一步、第二部、第三步都是放在同一个页面里, 验证第一步验证码是通过js来判断的, 可以修改验证码在没有获取验证码的情况下可以填写实名信息,并且提交成功。
7 业务授权安全
未授权访问
非授权访问是指用户在没有通过认证授权的情况下能够直接访问 需要通过认证才能访问到的页面或文本信息。 可以尝试在登录某网站前台或后台之后,将相关的页面链接复制 于其他浏览器或其他电脑上进行访问,看是否能访问成功。
越权访问
越权漏洞的成因主要是因为开发人员在对数据进行增、删、 改、查询时对客户端请求的数据过分相信而遗漏了权限的判定
垂直越权(垂直越权是指使用权限低的用户可以访问权限较高的用户)
水平越权(水平越权是指相同权限的不同用户可以互相访问)
《我的越权之道》URL:http://drops.wooyun.org/tips/727
示例
广州地铁某系统越权访问漏洞可导致内部人员信息泄露 http://www.wooyun.org/bugs/wooyun-2010-0157827
红塔证券从log日志越权访问到OA沦陷(众多信息沦陷) http://www.wooyun.org/bugs/wooyun-2015-0161316
8 业务流程乱序
顺序执行缺陷
1、部分网站逻辑可能是先A过程后B过程然后C过程最后D过程 2、用户控制着他们给应用程序发送的每一个请求,因此能够按照任何顺序进行访问。 于是,用户就从B直接进入了D过程,就绕过了C。如果C是支付过程, 那么用户就绕过了支付过程而买到了一件商品。如果C是验证过程,就会绕过验证直接进入网站程序了。
示例
淘美网逻辑漏洞美女QQ、手机号等信息免费任意看(1分钱都不给) http://wooyun.org/bugs/wooyun-2010-0108184
9 业务接口调用
重放攻击
在短信、邮件调用业务或生成业务数据环节中 (类:短信验证码,邮件验证码,订单生成,评论提交等), 对其业务环节进行调用(重放)测试。 如果业务经过调用(重放)后被多次生成有效的业务或数据结果
一亩田交易网逻辑漏洞(木桶原理) http://www.wooyun.org/bugs/wooyun-2015-094545
内容编辑
10 时效性绕过
时间刷新缺陷
12306网站的买票业务是每隔5s,票会刷新一次。但是这个时间确实在本地设置的间隔。 于是,在控制台就可以将这个时间的关联变量重新设置成1s或者更小, 这样刷新的时间就会大幅度缩短(主要更改autoSearchTime本地参数)。
12306自动刷票时间可更改漏洞 http://www.wooyun.org/bugs/wooyun-2014-048391
时间范围测试
针对某些带有时间限制的业务,修改其时间限制范围, 1、例如在某项时间限制范围内查询的业务,修改含有时间明文字段的请求并提交, 查看能否绕过时间限制完成业务流程。 2、例如通过更改查询手机网厅的受理记录的month范围,可以突破默认只能查询六个月的记录。
思维导图:
2108
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
