| 提示📝:
| “业务逻辑"一词仅指定义应用程序操作方式的一组规则。由于这些规则并不总是与企业直接相关,因此相关的漏洞也称为"应用逻辑漏洞"或简单的"逻辑缺陷”。 |
|---|
什么是业务逻辑漏洞
业务逻辑漏洞是:应用程序在设计和实施的时候存在缺陷,允许攻击者诱发意外行为,像是设计的方案被人钻了空子。
通俗理解就是:在编写程序时,只考虑了常规的操作流程,即“当在A情况下,就会出现B这种意外的时候,执行C即可”,但是开发者却没有考虑当用户执行了意料之外的X时会发生什么。这种对于异常情况的欠考虑,最终导致了安全漏洞的产生。
产生原因
1:程序和用户的交互上存在缺陷设计。
譬如:用户支付10000元购买了一台电脑,在下单之前,用户修改了数据包,把商品数量修改成-1,程序没有检查商品数量与价格的合理性,难不成电商还要倒赔用户?
2:设计的系统过于复杂。
即使是开发团队本身也并不完全了解这些缺陷
脑图
有哪些应用场景?哪些危害?
越权
- 水平越权:有多个权限水平相同的用户,从这个用户切换到另一个用户。
一般来说,是通过更换某个ID之类的身份标识,从而使A账户获取(修改、删除)B账号的数据
- 垂直越权:从低权限用户切换到高权限用户
一般来说,是通过低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作
- 未授权访问:
通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作
防御方式
- 前后端同时对用户输入信息进行校验,严双重验证机制
- 调用功能前验证用户是否有权限调用相关功能
- 执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限
- 直接对象引用的加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理
- 永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤
支付漏洞
详细内容,参见挖洞技巧:支付漏洞之总结,写的很详细
常见漏洞点:
- 修改支付价格
- 修改支付状态
- 修改购买数量
- 修改附属值
- 修改支付接口
- 多重替换支付
- 重复支付
- 最小额支付
- 值为最大值支付问题
- 越权支付
- 无限制试用
- 修改优惠价
靶机案例
修改支付金额
漏洞出现的原因是程序没有验证用户输入的金额,或者商品数量
以BurpSuite的在线实验室为例:Excessive trust in client-side controls
0:使用在线实验室提供的账号登录页面:wiener:peter
1:打开页面发现自己有100美元,随意选择一个
2:开启抓包,点击“Add to cart”,并把包发送到重放模块,停止抓包
3:此时的购物车
4:接下来就是设定价格,可以设为低于原价,甚至负数,亦或者修改商品数量,看哪种方法可行。
方案1:修改价格为负值,跟踪跳转之后,刷新购物车,购物车空了,钱包金额没变化,说明失败。
方案2:降低商品价格(设为0的话,失败同上),我这里设为20.
发现购物车金额有戏,提交订单
OK,闯关成功
密码找回绕过
内容描述:修改某网站自己的密码,进而控制该网站其他用户的账号思路:注册网站的账号,然后修改密码,在提交密码的页面修改对应的用户名。靶机:win2k8+phpstudy+metinfo攻击机:Burpsuite
参见我之前的文章:业务逻辑漏洞——密码找回绕过
越权
水平越权
计划以lucy的身份水平越权lili
1:lucy登陆系统
2:把lucy修改为lili
3:查看成功
垂直越权
根据提示,猜测应该是pikacu越权admin。
1:pikachu登陆,发现自己只有查看权限
2:管理员登陆,有添加用户权限
3:admin添加新用户,BurpSuite抓包,发送到重放模块,然后停止截包
admin添加了一个新用户haha
4:admin退出登陆,pikachu登陆系统,目的是为了获取pikachu的cookie,保持截断数据包
5:来到重放模块
(1)把cookie换成pikachu的
(2)修改一下新建用户的信息
6:代理模块停止截包
7:pikachu登陆成功,会看到自己添加的用户alice
防御方式
- 对数据进行加密
- 确保开发人员和测试人员足够了解产品
- 提高开发人员的安全意识
- 限制访问IP的访问频率
- 限制验证码的有效时间
参考
Business logic vulnerabilities
[红日安全]Web安全Day6 - 业务逻辑漏洞实战攻防
攻防演练中的业务逻辑漏洞及检测思路
惊险刺激的业务逻辑漏洞
挖洞技巧:支付漏洞之总结
2FA broken logic (Video solution)
第33天:WEB漏洞-逻辑越权之水平垂直越权全解
656
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
