逻辑漏洞详解

最新推荐文章于 2024-03-12 08:46:04 发布
最新推荐文章于 2024-03-12 08:46:04 发布
阅读量1.4k 收藏 9
点赞数
分类专栏: Web安全 文章标签: 逻辑漏洞 验证类漏洞 越权漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46684578/article/details/118753448
版权

逻辑漏洞

在这里插入图片描述

逻辑漏洞分类

  1. 绕过验证
  2. 越权访问
  3. 交易活动
  4. 其他漏洞

逻辑漏洞挖掘原理概述

  1. 场景分析
  2. 风险分析
  3. 漏洞验证
  4. 漏洞记录

原理:由于程序的逻辑错误,导致了越权,修改交易金额等事件的发生。在挖掘的时候,我们一定要主要场景的分析,比如学生管理平台的越权,交易时有没有修改金额的可能。

登录绕过,某单位的登录页面,通过burpsuite抓包,看到后台对某个参数的返回值是0,根据这个参数前端判断验证出错,不能成功登录,当我吧这个参数值修改为1的时候,就能被前端成功验证并登录后台。

越权有可能通过修改url中的某参数的值,导致学生越权,应该将这些参数的值放在session中,不能让用户看到,更不能修改。

交易类漏洞一般可以通过burpsuite抓包进行验证,可以任意修改金额。在防护的时候,应该多层验证,要让通信的双方都知道要交易的金额,一旦有人篡改,验证不符合就关闭交易。尽量将交易的金额放在session中。另外使用https通信协议,禁止被抓包。HTTPS加密协议是TLS,更安全。

在密码找回的场景中,通过修改手机号信息,控制验证码向指定手机号码发送。在之前网易邮箱就有这样的漏洞,在url里面有用户的邮箱信息,修改为被攻击者的邮箱,就可以直接登录,我们可以给此邮箱绑定我们的手机号,然后通过正常流程,手机验证码的方式修改密码。

1. 绕过验证类漏洞

验证类逻辑漏洞:https://blog.csdn.net/weixin_46684578/article/details/119842025

1. 客户端校验绕过

  1. 使用HTML的input标签的属性限制用户输入的内容。

  2. 使用javascript对用户输入进行校验,如果输入了非法内容自动清除或禁止用户提交表单。

  3. 将用户数据在本地校验结果,作为请求参数或cookie提交。

  4. 将用户需要进行校验的关键数据(如是否参与过活动,已参与活动的次数等)作为请求参数或cookie提交。

2. 客户端信息泄露

  1. 直接将验证信息返回到客户端页面的源码中。

  2. 将验证信息在接口中返回。

测试方法:

  1. 通过访问HTML页面源码查看是否有验证信息。

  2. 通过BURP拦截数据包跟踪验证过程,查看是否有验证信息

3. 客户端流程控制

通过抓包,修改手机号,可以将验证码发送到任意手机号

测试方法:

  1. 通过BURP拦截请求及响应数据包,找到验证成功和验证失败时返回包中的关键字,将验证失败的关键字篡改为验证成功时的关键字后再返回客户端。
  2. 使用burp拦截请求及响应数据包,跟踪验证成功时触发的请求,尝试在验证失败的情况下直接构造相同的请求
4. 操作目标篡改

如果某操作采用了连续身份校验机制或身份校验过程与操作过程分离,可以尝试在身份验证过程中替换身份校验对象或操作对象实现绕过验证。

测试方法:

​ 如果目标操作与身份校验功能分离,可以尝试在完成身份校验后修改操作目标。

5. 参数篡改

程序员在编写验证程序时有可能会对验证码字段进行正确性校验,但当验证码字段不存在或为空时就直接通过校验。

测试方法:

​ 用burpsuite抓包,将验证码字段设置为空或者删除后再提交

真实案例:

​ 西部证券某系统存在绕过验证漏洞,用burpsuite抓包,可以通过删除验证码(securityCode字段)进行爆破。

6. 暴力破解

可以使用 burpsuite等工具

2. 越权访问类漏洞

推荐文章 https://blog.csdn.net/weixin_46684578/article/details/119842225.

  1. 水平越权:例如A同学经过某种手段可以访问只有B同学才能访问的信息
  2. 垂直越权:同学A经过某些操作可以访问的只有老师才能访问到的信息

3. 交易类漏洞

此漏洞涉及使用资金、虚拟货币、积分等进行交易或参与活动类赢取奖励的功能,这些功能在设计实现时如果没有进行充分的安全性考虑,就会产生业务逻辑漏洞。

1. 重放攻击

重放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输。

2. 数据篡改

测试能否通过参数篡改的方式修改交易金额,实现非法获利,除了买卖以外,转账、打赏、红包、兑换等各类涉及资金、虚拟币、积分等功能的实现过程也需要进行本项测试。

3. 流程绕过

客户端测试活动业务是否存在漏洞,能否在未满足活动参与条件的情况下参与活动或获得收益常见的客户端验证方法

4. 资源滥用

攻击者常见的恶意调用方式包括资源滥用和信息篡改者:

资源滥用如短信炸弹、邮件炸弹等,使用自动化工具频繁调用接口,消耗系统资源,对用户进行骚扰。

采用遍历的方式想很多用户推送消息。

分类:

短信验证码

社交功能

测试方法:

  1. 使用抓包工具跟踪消息推送接口的调用过程,如果满足以下要求(如业务或行业有相关规范要求以相关规范要求为准),则认为不存在本漏洞,如果仅满足部分要求、可以无限制使用自动化工具重复调用或限制措施可以通过绕过验证的方式绕过,则记录中风险漏洞

    接口调用有时间间隔限制且不小于一分钟

    接口调用有单位时间内调用次数限制,如每小时最多调用多少次或每天最多调用多少次。

  2. 使用抓包工具跟踪消息推送接口的调用过程,如果可以通过参数篡改等方式修改消息推送接口的推送的内容,则记录高风险漏洞

修复建议

  1. 短信内容必须在服务端生成,不得由客户端控制。

  2. 在服务器端对短信发送功能进行限制,根据客户端请求的IP或目标号码,限制短信发送的总数量、单位时间内的数量、两次发送的间隔,如每天最多发送30条短信,每小时最多发送10条短信,任意两条短信之间发送的时间间隔需要达到1分钟以上。

Buffedon
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
论文研究-一种Web应用越权漏洞自动化检测实现 .pdf
08-18
一种Web应用越权漏洞自动化检测实现,净山,徐国爱,作为互联网的高速发展的产物,Web应用已经暴露出越来越多的安全问题。为了弥补传统商业软件对于Web应用越权漏洞检测能力的不足,本
逻辑漏洞----身份验证漏洞
qq_44418229的博客
07-14 1846
逻辑漏洞----身份验证漏洞
常见的逻辑漏洞有哪些?
最新发布
qq_59020256的博客
03-12 552
越权漏洞就是应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不充分,就易致越权漏洞。垂直越权也可以通过burp抓包来实现,比如说每个用户都会有独一无二的id,修改id后用户信息就会改变。水平越权可以通过burp抓包来实现,比如说每个用户都会有独一无二的id,修改id后用户信息就会改变。
SRC | 逻辑漏洞原理及实战
不知名白帽的博客
07-23 1599
src之逻辑漏洞
逻辑漏洞总结
qq_45244158的博客
06-28 7378
逻辑漏洞:又称业务逻辑漏洞,是指由于程序逻辑不严谨或者 逻辑太复杂,导致一些逻辑分支不能正常处理或 者处理错误。通俗的讲,一个系统功能太多后,程序开发人员难以顾及到方方面面,对于某些地方的处理可能有遗漏, 从而导致逻辑漏洞逻辑漏洞的出现:通常出现在任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额等。普遍存在性: 由于功能的实现需要大量的逻辑操作,同时受制于程序员的背景,这缺陷普遍存在于各应用程序中。 不固定型: 或者称作“十分有针对性”,因为每一种逻辑缺陷似乎都是唯一的,它是基于逻辑
逻辑漏洞梳理与总结
hackzkaq的博客
05-11 853
零基础学黑客,搜索公众号:白帽子左一 设计阶段产生,老司机也会产生、相对难发现、难以防护,相对容易利用 第三方逻辑缺陷、没有在设计初期进行安全审计、安全水平及对安全认知程度不一致 身份验证漏洞 暴力破解漏洞 漏洞介绍:攻击者可以通过该漏洞获取用户名和对应弱口令密码,并进行登录操作 漏洞原理:由于没有设置登录失败次数限制,导致攻击者可以通过口令字典进行特定用户的密码爆破或通过用户名字典进行特定弱口令的用户枚举 漏洞点:系统登录点 漏洞修复: 对于固定用户名爆破密码 可以针对用户名进行错误次数计算,高于一定
常见逻辑漏洞总结
weixin_44477223的博客
10-19 8934
常见逻辑漏洞 简介 逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞。 在实际开发中,因为开发者水平不一没有安全意识,而且业务发展迅速内部测试没有及时到位,所以常常会出现似的漏洞。 1.交易逻辑漏洞 ...
逻辑漏洞小总结
yk2909438315的博客
07-10 3295
1、找到关键的数据包可能一个支付操作有三四个数据包,我们要对数据包进行挑选。2、分析数据包支付数据包中会包含很多的敏感信息(账号,金额,余额,优惠),要尝试对数据包中的各个参数进行分析。3、不按套路出牌多去想想开发者没有想到的地方。4、pc端尝试过,手机端wap也看看,app也试试防御方法1、在后端检查订单的每一个值,包括支付状态;2、校验价格、数量参数,比如产品数量只能为整数,并限制最大购买数量;
逻辑漏洞学习-知识点总结
weixin_49349476的博客
06-03 1294
学习完个人感觉:逻辑漏洞是思维上的对决,开发者第一目的是实现功能,在一些开发上,就存在漏洞。在身份证验证验证验证、忘记密码、支付时、其他方面等都存在漏洞
网络安全常见漏洞原理及其防御(续)(逻辑漏洞
weixin_46342913的博客
10-07 4270
目录 逻辑漏洞 1 原理 2.漏洞说明 2.1支付逻辑漏洞 2.2登录缺陷 2.3越权访问 逻辑漏洞 1 原理 之所以称为逻辑漏洞,是因为代码之后是人的逻辑,人更容易犯错,是编写完程序后随着人的思维逻辑产生的不足,所以逻辑漏洞一直都在。sql注入、xss等漏洞可以通过安全框架等避免,这种攻击流量非法,对原始程序进行了破坏,防火墙可以检测,而由于逻辑漏洞产生的流量多数为合法流量,一般的防护手段或设备无法阻止,也导致了逻辑漏洞成为了防护难题。 逻辑漏洞一般可以分为以下几: 验...
逻辑漏洞越权详解-漏洞银行大咖周6-浅安
01-26
资源来自:漏洞银行大咖面对面一周大咖秀6 作者:浅安
owasp top10漏洞讲解
07-22
web渗透之逻辑漏洞,1. 注入 2. 失效的身份认证和会话管理 3. 跨站攻击 4. 不安全的对象直接引用 5. 伪造跨站请求 6. 安全配置错误 7. 限制URL访问失败 8. 未验证的重定向和转发 9. 应用已知脆弱性的组件 10. 敏感...
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解),看完直怼面试官(十种web漏洞).pdf 程序员面试宝典(安全知识)
02-11
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(七)逻辑漏洞相关面试题 [ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(八)暴力破解相关面试题 [ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(九)XXE 相关...
Django中和时区相关的安全问题详解
12-16
作为安全研究人员,时区问题也可能和一些安全问题挂钩,比如优惠券的过期时间、订单的下单与取消时间等,如果没有考虑时区问题,有可能将导致一些逻辑漏洞。 本文就从多个常用模块开始,了解一下Django中的时区究竟...
从黑盒到白盒:软件测试的核心技术详解
01-07
条件组合覆盖:穷尽所有条件组合,减少逻辑漏洞。 基本路径覆盖:探索代码的每一条路径,确保无遗漏。 附加价值 大量例题解析:理论与实践相结合,加深理解。 不仅仅是理论:通过实际案例,让你直观感受每种测试...
业务逻辑漏洞原理探索 ---- 最完整版本
weixin_67488888的博客
09-01 232
web应用程序中的逻辑漏洞各不相同,有的很明显,有的很微妙。与SQL注入和跨站不同,逻辑漏洞没有共有的“签名”,定义特性是指应用程序执行的逻辑存在某种缺陷。大部分逻辑缺陷表现为开发者在思考过程中做出的特殊假设存在明显或隐含的错误,通俗点来说,有的开发者会这样认为,如果发生A,就会出现B,因此我执行C。没有考虑如果发生X会怎么样,这种错误的假设会造成许多安全漏洞逻辑漏洞是多样性的,挖掘它们需要从不同的角度思考问题,设法了解设计者和开发者做出的各种假设,然后考虑如何攻击。
逻辑漏洞合集总结
m0_49577923的博客
10-27 2751
前言 什么是逻辑漏洞逻辑漏洞是人编写程序时由于对某方面功能疏忽或者考虑不周全造成的漏洞,所以说逻辑漏洞利用的场景千奇百怪,逻辑漏洞利用的方法也要要结合具体场景来谈,下面我来举例一些常见的逻辑漏洞型。 一、密码重置漏洞 1. 验证码爆破 某些网站发送手机验证码是四位数的验证码,这时我们可以使用字典爆破。 2. 验证码抓取 验证码由客户端生成的,我们可以利用抓包工具,在发送验证码的时候抓取验证码。 3.验证码不更新 获取验证码后,验证码不刷新且后端程序对验证码不校验,导致用A手机号成功重置密
逻辑漏洞概述
jpygx123的博客
10-17 3350
访问: 主体与客体之间的信息流动。主动的是主体,被动的是客体。 主体访问客体的四个步骤: 身份标识->身份验证(数据库匹配信息,判断身份是否合法)->授权(判断身份是谁,管理员或正常账户)->审计(记录操作) 访问控制模型: 自主访问控住(DAC 大部分使用):由客体的属主自主对客体进行管理,自主决定是否将访问权限授予其他主体。 强制访问控制(MAC 军方或重要政府部门用):安全...
weblogic漏洞原理
07-09
WebLogic漏洞是指Oracle WebLogic Server中的安全漏洞,攻击者可以利用这些漏洞来远程执行任意代码,绕过身份验证或者导致拒绝服务等攻击。 其中最著名的漏洞是CVE-2019-2725,该漏洞存在于WebLogic Server的组件WLS Core组件中。攻击者可以通过构造特制的HTTP请求来触发该漏洞,成功利用漏洞后可以远程执行任意代码,进而完全控制受影响的WebLogic服务器。 漏洞原理是由于WLS Core组件中的某个API存在逻辑错误或缺陷,攻击者可以通过向目标服务器发送特制的恶意请求来利用这个错误。攻击者可以构造特定的XML数据包,通过发送恶意请求来触发漏洞并执行任意代码。 这漏洞通常会导致服务器被入侵、数据泄露、拒绝服务等安全问题。因此,及时修复WebLogic漏洞并保持最新的安全补丁是非常重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Buffedon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值