深入浅出Android应用服务端安全漏洞之越权漏洞、XSS漏洞、

2016-11-30 本文已影响420人 bbd652e0e6af

上周蒲公英为大家介绍了Android应用服务端中的SQL注入漏洞与文件上传漏洞：

深入浅出Android应用服务端安全漏洞之SQL注入漏洞与文件上传漏洞

本周将会继续为大家带来服务端的漏洞，本次介绍的有：越权漏洞、XSS漏洞、业务逻辑漏洞与接口未限制导致撞库漏洞。

越权漏洞

在一个产品中，一个正常的用户A通常只能够编辑自己的信息，别人的信息最多只有查看的权限，但是由于程序不校验用户的身份，A用户更改自己的id值就进入了B用户的主页，可以查看、修改B用户的信息，这种漏洞我们就将其称之为越权漏洞。

通过以上的描述，越权漏洞所产生的危害也就不言而喻了，�由于可以查看、修改他人信息，信息泄露也就不可避免。

XSS漏洞

XSS为跨站脚本攻击(Cross Site Scripting)的缩写，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。

利用XSS的攻击者进行攻击时会向页面插入恶意Script代码，当用户浏览该页面时，嵌入在页面里的Script代码会被执行，从而达到攻击用户的目的。同样会造成用户的认证信息被获取，仿冒用户登录，造成用户信息泄露等危害。

业务逻辑漏洞

业务逻辑漏洞是指由于程序逻辑不严密或逻辑太复杂，导致一些逻辑分支被绕过或处理错误。常见漏洞包括：任意密码修改（没有旧密码验证）、密码找回漏洞、业务数据篡改等。

业务逻辑漏洞的出现易造成账号被盗、免费购物，游戏应用易造成刷钱、刷游戏币等严重问题。

某银行App修改用户密码

{"PASSWORD":"NewPassword","CUST_NAME":"Name","GLOBAL_TYPE":"1","GLOBAL_ID":"身份证号","TransId":"sx.resetLoginPwd"}

阳光保险App重置任意用户密码

又现刷金币BUG！海岛奇兵双倍兵漏洞百出
http://news.17173.com/z/bb/content/07192016/152133372_1.shtml
“黑客”玩家入侵网游系统狂刷34亿“金币”
http://games.qq.com/a/20160228/000694.htm#p=1
掌阅读书App账户密码找回绕过/账户信息泄漏/使用他人账户为自己买书等系列问题
http://www.2cto.com/Article/201502/375463.html

接口未限制导致撞库漏洞

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。

很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。如果撞库攻击成功，那么库中的大量用户就会面临账号被盗取、信息泄露等严重问题。

如优步客户端接口设计不当可导致撞库攻击，黑客可以用遍历手机号的方式来猜测弱密码存在的可能性，也可以根据互联网已经泄露的用户信息进行“撞库”。

男子Uber账号连被盗 “代打车”业务泛滥
http://www.xitongzhijia.net/news/20160704/76592.html

12306手机App的登陆接口存在漏洞，黑客可以轻易绕过其账号安全防护措施，无限次尝试自动登陆。此前网上流传的13万余条12306用户密码都是由黑客“撞库”获取，如此巨大的登陆请求数量，12306都没有及时发现并进行屏蔽。
http://tech.huanqiu.com/news/2015-01/5331047.html

那么到这里，Android应用的APP端和服务端常见的一些漏洞就介绍到这里，作为Android开发者来讲，应该重视起可能出现的这些漏洞，有效的规避它们，除了流畅的功能使用外，给用户一个安全的使用体验也是至关重要的。

深入浅出Android应用服务端安全漏洞之越权漏洞、XSS漏洞、

越权漏洞

相关案例：

XSS漏洞

相关案例

业务逻辑漏洞

接口未限制导致撞库漏洞

猜你喜欢

热点阅读