业务安全（概述、hacker攻击目标、测试流程、业务数据安全、dami商城5.4漏洞演示、密码找回安全（metinfov4.0案例）、DVWA Insecure CAPTCHA不安全验证码）

业务安全

一、概述

近年来，随着信息化技术的迅速发展和全球一体化进程的不断加快，计算机和网络已经成为与所有人都息息相关的工具和媒介，个人的工作、生活和娱乐，企业的管理，乃至国家的发展和改革都无处其外。信息和互联网带来的不仅仅是便利和高效，大量隐私、敏感和高价值的信息数据和资产，成为恶意攻击者攻击和威胁的主要目标，从早期以极客为核心的hacker黄金时代，到现在利益链驱动的庞大黑色产业，网络安全已经成为任何个人、企业、组织和国家所必须面临的重要问题。“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，没有网络安全就没有国家安全，没有信息化就没有现代化。

随着互联网+的发展，经济形态不断地发生演变。众多传统行业逐步地融入互联网并利用信息通信技术以及互联网平台进行着频繁的商务活动，这些平台(如银行、保险、证券、电商、P2P、020、游戏、社交、招聘、航空等)由于涉及大量的金钱、个人信息、交易等重要隐私数据，成为了hacker攻击的首要目标，而因为开发人员安全意识淡薄(只注重实现功能而忽略了在用户使用过程中个人的行为对Web应用程序的业务逻辑功能的安全性影响)、 开发代码频繁迭代导致这些平台业务逻辑层面的安全风险层出不穷(业务逻辑漏洞主要是开发人员业务流程设计的缺陷，不仅限于网络层、系统层、代码层等。比如登录验证的绕过、交易中的数据篡改、接口的恶意调用等，都属于业务逻辑漏洞)。

二、hacker攻击的目标

一方面随着社会和科技的发展，购物、社交、P2P、020、游戏、招聘等业务纷纷具备了在线支付功能。如电商支付系统保存了用户手机号、姓名、家庭住址，包括支付的银行卡信息、支付密码信息等，这些都是hacker感兴趣的敏感信息。

攻击者可以利用程序员的设计缺陷进行交易数据篡改、敏感信息盗取、资产的窃取等操作。现在的hacker不在以炫耀技能为主要攻击目的，而主要以经
济利益为目的，攻击的目的逐渐转变为趋利化；

另一方面，如今的业务系统对于传统安全漏洞防护的技术和设备越来越成熟，基于传统漏洞入侵也变得越来越困难，增加了hacker攻击的成本。而业务逻辑漏洞可以逃逸各种安全防护，迄今为止没有很好的解决办法。也是为什么hacker偏好使用业务逻辑漏洞攻击的一个原因。

三、业务安全测试流程

1. 测试准备

准备阶段主要包括对业务系统的前期熟悉工作。

针对白盒性质的测试，可以结合相关开发文档去熟悉相关系统业务；

针对黑盒测试，可通过实际操作还原业务流程的方式理解业务。

2. 业务调研

业务调研阶段主要针对业务系统相关负责人进行访谈调研，了解业务系统的整体情况，包括部署情况、功能模块、业务流程、数据流、业务逻辑以及现有的安全措施等内容。根据以往测试实施经验，在业务调研前可先设计访谈问卷，访谈后可能会随着对客户业务系统具体情况了解的深入而不断调整、更新问卷(黑盒测试此步骤可忽略)。

3. 业务建模

针对不同行业、不同平台的业务系统，如电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统，识别出其中的高风险业务场景进行建模。

4. 业务流程梳理

建模完成后需要对重要业务场景的各个业务模块逐一进行业务流程梳理，从前台、后台、业务、支撑系统等4个不同维度进行分析，识别各业务模块的业务逻辑、业务数据流和功能字段等。

业务模块的流程梳理主要遵循以下原则:

• 区分业务主流程和分支流程，业务梳理工作是围绕主流程进行分析的，而主流程一定是核心业务流程，业务流程重点梳理的对象首先应放在核心主流程上，务必梳理出业务关键环节;
• 概括归纳业务分支流程，业务分支流程往往存在通用点，可将具有业务相似性的分支流程归纳成某一类型的业务流程，无须单独对其进行测试；
• 识别业务流程数据信息流，特别是业务数据流在交互双方之间传输的先后顺序、路径等;
• 识别业务数据流功能字段，识别数据流中包含的重要程度不等的信息，理解这些字段的含义有助于下阶段风险点分析。

如一个商场用户登录流程业务：

5. 业务风险点识别

在完成前期不同维度的业务流程梳理工作后，针对前台业务应着重关注用户界面操作每一步可能的逻辑风险和技术风险;针对后台业务应着重关注数据安全、数据流转以及处理的日志和审计。

业务风险点识别应主要关注以下安全风险内容。

1. 业务环节存在的安全风险
   业务环节存在的安全风险指的是业务使用者可见的业务存在的安全风险，如注册、登录和密码找回等身份认证环节，是否存在完善的验证码机制、数据一致性校验机制、Session 和 Cookie 校验机制等，是否能规避验证码绕过、暴力破解和SQL注入等漏洞。
2. 支持系统存在的安全风险
   支持系统存在的安全风险，如用户访问控制机制是否完善，是否存在水平越权或垂直越权漏洞。系统内加密存储机制是否完善，业务数据是否明文传输。系统使用的业务接口是否可以未授权访问/调用，是否可以调用重放、遍历，接口调用参数是否可篡改等。
3. 业务环节间存在的安全风险
   业务环节间存在的安全风险，如系统业务流程是否存在乱序，导致某个业务环节可绕过、回退，或某个业务请求可以无限重放。业务环节间传输的数据是否有一致性校验机制，是否存在业务数据可被篡改的风险。
4. 支持系统间存在的安全风险
   支持系统间存在的安全风险，如系统间数据传输是否加密、系统间传输的参数是否可篡改。系统间输入参数的过滤机制是否完善，是否可能导致SQL注入、xss跨站脚本和代码执行漏洞。
5. 业务环节与支持系统间存在的安全风险
   业务环节与支持系统间存在的风险，如数据传输是否加密、加密方式是否完善，是否采用前端加密、简单MD5编码等不安全的加密方式。系统处理多线程并发请求的机制是否完善，服务端逻辑与数据库读写是否存在时序问题，导致竞争条件漏洞。系统间输入参数的过滤机制是否完善。

6. 开展测试

对前期业务流程梳理和识别出的风险点，进行有针对性的测试。

7. 撰写报告

针对业务安全测试过程中发现的风险结果进行评价和建议，综合评价利用场景的风险程度和造成影响的严重程度，最终完成测试报告的编写。

四、业务数据安全

1. 五方面数据安全

1.1 商品支付金额篡改

“一分钱买电脑”

电商类网站在业务流程整个环节，需要对业务数据的完整性和一致性进行保护，特别是确保在用户客户端与服务、业务系统接口之间的数据传输的一致性，通常在订购类交易流程中，容易出现服务器端未对用户提交的业务数据进行强制校验，过度信赖客户端提交的业务数据而导致的商品金额篡改漏洞。

商品金额篡改测试，通过抓包修改业务流程中的交易金额等字段，例如在支付页面抓取请求中商品的金额字段，修改成任意数额的金额并提交，查看能否以修改后的金额数据完成业务流程。该项测试主要针对订单生成的过程中存在商品支付金额校验不完整而产生业务安全风险点，通常导致攻击者用实际支付远低于订单支付的金额订购商品的业务逻辑漏洞。

1.2 前端JS限制绕过验证

很多商品在限制用户购买数量时，服务器仅在页面通过JS脚本限制，未在服务器端校验用户提交的数量，通过抓取客户端发送的请求包修改JS端生成处理的交易数据，如将请求中的商品数量改为大于最大数限制的值，查看能否以非正常业务交易数据完成业务流程。

该项测试主要针对电商平台由于交易限制机制不严谨、不完善而导致的一些业务逻辑问题。例如，在促销活动中限制商品购买数量，却未对数量进行前、后端严格校验，往往被攻击者所利用，购买多个促销商品，造成商家的损失。

1.3 请求重放测试

请求重放漏洞是电商平台业务逻辑漏洞中一种常见的由设计缺陷所引发的漏洞，通常情况下所引发的安全问题表现在商品首次购买成功后，参照订购商品的正常流程请求，进行完全模拟正常订购业务流程的重放操作，可以实现“一次购买多次收货”等违背正常业务逻辑的结果。

该项测试主要针对电商平台订购兑换业务流程中对每笔交易请求的唯-性判断缺乏有效机制的业务逻辑问题，通过该项测试可以验证交易流程中随机数、时间戳等生成机制是否正常。

1.4 业务上限测试

业务上限测试主要是针对一些电商类应用程序在进行业务办理流程中，服务端没有对用户提交的查询范围、订单数量、金额等数据进行严格校验而引发的一些业务 逻辑漏洞。通常情况下，在业务流程中通过向服务端提交高于或低于预期的数据以校验服务端是否对所提交的数据做预期强校验。存在此类脆弱性的应用程序，通常表现为查询到超出预期的信息、订购或兑换超出预期范围的商品等。

该项测试主要判断应用程序是否对业务预期范围外的业务请求做出正确回应。

1.5 商品订购数量篡改

商品数量篡改测试是通过在业务流程中抓包修改订购商品数量等字段，如将请求中的商品数量修改成任意非预期数额、负数等进行提交，查看业务系统能否以修改后的数量完成业务流程。

该项测试主要针对商品订购的过程中对异常交易数据处理缺乏风控机制而导致相关业务逻辑漏洞，例如针对订购中的数量、价格等缺乏判断而产生意外的结果，往往被攻击者利用。

2. 案例：damiCMS V5.4

1. 搭建dami网站

2. 注册账号

3. 提交订单，拦截数据包

将数量修改为-1，forword，成功购买

五、密码找回安全

1. 验证码客户端回显测试

找回密码测试中要注意验证码是否会回显在响应中，有些网站程序会选择将验证码回显在响应中（在cookie的值中），来判断用户输入的验证码是否和响应中的验证码一致，如果一致就会通过校验。

2. 验证码暴力破解

找回密码功能模块中通常会将用户凭证(一般为验证码)发送到用户自己才可以看到的手机号或者邮箱中，只要用户不泄露自己的验证码就不会被攻击者利用，但是有些应用程序在验证码发送功能模块中验证码位数及复杂性较弱，也没有对验证码做次数限制而导致验证码可被暴力枚举并修改任意用户密码。在测试验证码是否可以被暴力枚举时，可以先将验证码多次发送给自己的账号，观察验证码是否有规律，如每次接收到的验证码为纯数字并且是4位数。

防御：当验证码输入3次错误时，重新发送验证码。

3. Response状态值修改测试

Response状态值修改测试，即修改请求的响应结果来达到密码重置的目的，存在这种漏洞的网站或者手机App往往因为校验不严格而导致了非常危险的重置密码操作。这种漏洞的利用方式通常是在服务端发送某个密码重置的凭证请求后，出现特定的响应值，比如true、1、ok、success等，网站看到回显内容为特定值后即修改密码，通常这种漏洞的回显值校验是在客户端进行的，所以只需要修改回显即可。

4. Session 覆盖

找回密码逻辑漏洞测试中也会遇到参数不可控的情况，比如要修改的用户名或者绑定的手机号无法在提交参数时修改，服务端通过读取当前session会话来判断要修改密码的账号，这种情况下能否对Session中的内容做修改以达到任意密码重置的目的呢?

在某网站中的找回密码功能中，业务逻辑是：由用户使用手机进行注册，然后服务端向手机发送验证码短信，用户输入验证码提交后，进入密码重置页面。

对网站中Session覆盖的测试如下：

1. 需要准备自己的账号接收凭证(短信验证码) ;
2. 获得凭证校验成功后进入密码重置页面;
3. 在浏览器新标签重新打开找回密码页面，输入目标手机号;
4. 此时当前Session账户已经被覆盖，重新回到第二步中打开的重置密码页面即可重置目标手机号。

5. 弱Token设计缺陷测试

在找回密码功能中，很多网站会向用户邮箱发送找回密码页面链接。用户只需要进入邮箱，打开找回密码邮件中的链接，就可以进入密码重置页面了。找回密码的链接通常会加入校验参数来确认链接的有效性，通过校验参数的值与数据库生成的值是否一致来判断当前找回密码的链接是否有效。

如：http://www.xxx.com/ findpwd?uid=xx-uu-xx-sxx&token=4561321542

6. 密码找回流程绕过测试

很多网站的密码找回功能一般有以下几个步骤。

1. 用户输入找回密码的账号；
2. 校验凭证：向用户发送短信验证码或者找回密码链接，用户回填验证码或单击链接进入密码重置页面，以此方式证明当前操作用户是账号主人;
3. 校验成功进入重置密码页面。

在找回密码逻辑中，第二步校验凭证最为重要。不是账号主人是无法收到校验凭的，试想有没有办法可以绕过第二步凭证校验，直接进入第三步重置密码呢?

用户修改密码需要向服务器发送修改密码请求，服务器通过后再修改数据库中相应的密码，所以在测试中我们首先要收集三个步骤的请求接口，重点是收集到最后一步重置密码的接口，这样我们可以直接跳过凭证校验的接口去尝试直接重置密码。

7. 接口参数账号修改

找回密码功能逻辑中常常会在用户修改密码接口提交参数中存在传递用户账号的参数，而用户账号参数作为一个可控变量是可以被篡改的，从而导致修改账号密码的凭证或修改的目标账号出现偏差，最终造成任意账号密码修改的漏洞。

通常在找回密码逻辑中，服务端会要求用户提供要修改的账号，然后给这个账号发送只有账号主人才能看到的凭证。比如给这个账号主人绑定的邮箱或者手机号发送验证码，或者找回密码链接，这样可以保证只有账号主人才可以看到这些凭证。但是如果服务器对账号的控制逻辑不当，就会导致原有账号被篡改为其他账号，服务器端把凭证发送给篡改后的账号的邮箱或手机，最终造成可利用凭证重置任意账号密码的漏洞。接口参数账号修改流程测试为拦截前端请求，通过修改请求内的账号ID、名称或者邮箱、手机号等参数，将修改后的数据发送给服务器进行欺骗达到密码重置的目的。

示例

以metinfov4.0为例。

1. 注册一个会员tom，密码为123456

2. 我们计划将tom的密码修改为111111，提交时bp拦截数据包，篡改密码为222222

此时tom的密码已经被修改为222222。

3. 我们再注册一个会员lisa，密码为888888；
4. tom想再次修改密码为666666时，我们拦截数据包，将用户名改为lisa

而此时lisa的密码被修改为666666，tom还是原来的密码。

8. DVWA–Insecure CAPTCHA（不安全验证码）

这一模块采用的google的reCAPTCHA服务，大概的验证流程：

8.1 Low

服务器将改密操作分成了两步，step1检查用户输入的验证码，验证通过后，服务器返回表单；
step2客户端提交post请求，服务器完成更改密码的操作。

但是，这其中存在明显的逻辑漏洞，服务器仅仅通过检查Change、step参数来判断用户是否已经输入了正确的验证码。

漏洞利用1：通过bp抓包，构造参数绕过验证过程，即跳过step1，直接到step2

漏洞利用2：由于没有任何的防CSRF机制，我们可以构造攻击页面

<html>      
<body onload="document.getElementById('transfer').submit()">        
  <div>    
    <form method="POST" id="transfer" action="http://your-ip/dvwa/vulnerabilities/captcha/">     
        <input type="hidden" name="password_new" value="password">
        <input type="hidden" name="password_conf" value="password">     
        <input type="hidden" name="step" value="2">      
        <input type="hidden" name="Change" value="Change">        
    </form>        
  </div>        
</body>
</html>

当你在登录状态下再去访问这个页面时，攻击脚本会伪造改密请求发送给服务器。
但会看到更改密码成功的界面（这是因为修改密码成功后，服务器会返回302，实现自动跳转），从而意识到自己遭到了攻击。

8.2 Medium

该级别的代码在第二步验证时，加入了对参数 passed_captcha 的检查，如果参数值为true，则认为用户已经通过了验证码检查。

漏洞利用1：通过伪造参数绕过验证，增加本质上来说，这与Low级别的验证没有任何区别。

bp抓包，修改step=2并增加 passed_captcha=true 参数，绕过验证码。

漏洞利用2：因为也才存在CSRF，所以和low一样也可以使用构造代码绕过。

8.3 high

服务器的验证逻辑是当 $resp（这里是指谷歌返回的验证结果）是false，并且参数 g-recaptcha-response 不等于 hidd3n_valu3（或者http包头的 User-Agent 参数不等于 reCAPTCHA ）时，就认为验证码输入错误，反之则认为已经通过了验证码的检查。

漏洞利用：$resp 参数我们无法控制，所以需要令参数 g-recaptcha-response=hidd3n_valu3、User-Agent=reCAPTCHA。

bp抓包，修改参数，成功修改;

8.3 impossible

impossible级别的代码增加了 Anti-CSRF token 机制防御CSRF攻击，利用PDO技术防护sql注入，验证过程终于不再分成两部分了，验证码无法绕过，同时要求用户输入之前的密码，进一步加强了身份认证。