十大漏洞之逻辑漏洞
LAZY
在十大漏洞中,逻辑漏洞被称为“不安全的对象引用,和功能级访问控制缺失”。现如今,越权和逻辑漏洞占用比例比较高,包括任意查询用户信息,重置任意用户密码,验证码爆破等。
逻辑漏洞:
常见的逻辑漏洞:
交易支付,密码修改,密码找回,越权修改,越权查询,,突破限制等各种逻辑漏洞
不安全的对象引用指的是平行权限的访问控制缺失
A,B同为普通用户,他们之间彼此之间的个人资料应该相互保密的,
A的资料如果被B用户利用程序访问控制的缺失而已查看,这就是平行权限的关系。
功能级别访问控制缺失指的是垂直权限的访问控制缺失
A是普通用户,B是管理员,B的页面登录访问需要密码和token.
A账号能直接输入管理页面URL的方式绕过管理员登录限制查看管理员页面,这个时候A,B就是垂直关系。
逻辑漏洞的挖掘:
基本步骤:
1,先尝试正确操作流程,记录不同找回方式的所有数据包
2,分析数据包,找到有效数据部分
3,推测数据构造方法
4,构造数据包验证猜测
比如说,加入购物车,我是不是可以修改购买的数量,修改成负数,商品的价格是不是可以修改;
确认购物车信息时,是不是可以修改商品的数量为负数,是不是可以突破打折的限制;
输入运费,可不可以被修改;
确认订单后,能不能直接修改支付金额,可否不支付直接跳转到交易成功;
逻辑漏洞的利用:
用户凭证暴力破解:
四位或者六位的纯数字,无需验证码,直接burp爆破;
四位或者六位的纯数字,需要验证码,但是验证码没有及时撤销,也可以直接burp爆破;
四位或者六位的纯数字,需要验证码,但是验证码没有及时撤销,也可以直接burp爆破;
如果验证不是很验过,burp抓包,在后面手机号后面添加特殊字符绕过第一次防御
防御----对它提交的次数做一个过滤
防御----只要尝试超过三次,就加入黑名单
返回凭证:
burp抓包的时候,url返回验证码及token,时间戳的md5,修改token为1或0,绕过凭证。
密码找回漏洞:
大纲如下图所示:
一般都是通过验证问题,验证邮箱,验证手机号码,等操作进行找回。
基本步骤:
* 先尝试正确的密码找回流程,记录不同找回方式的所有数据包
* 分析数据包,找到有效数据部分
* 推测数据构造方法
* 构造数据包验证猜测
简单案例:
1,邮箱验证:
一般是点击邮件中的链接后会转跳到修密码的页面,这就需要分析链接的token构造了,
可以考虑是时间戳md5、用户名或邮箱和随机字符串md5等,一般是类似如下链接:
php?u=xiaoming&token=MTIzQHFxLmNvbQ==
php?id=374&token=2ad64bf14c714dbce88c7993663da7da
当构造相应链接时就可以重置任意用户的密码
2,手机短信验证:
短信找回一般就是4位或6位验证码,暴力猜测吧
3,无需验证,直接修改:
在修改密码时跳过选择找回方式,直接访问修改密码的页面进行修改
4,本地验证:
随意输入一个验证码,开Burp抓包,forward,抓返回包,返回包里可能有一个token字段,
若token的值为1则跳转到修改密码页面,所以只要修改返回包即可
5,服务端将验证码返回给浏览器:
在点击获取验证码时,服务器会将验证码发送给浏览器,抓包即可
6,验证码直接出现在url中:
当点击获取验证码时发出的请求链接中直接有code,或者直接在源代码里面。
7,密保问题找回:
回答密保问题,有时一些答案就在html源码里
8,找回逻辑错误:
若恶意用户A用15123333333找回密码,此时收到验证码但不使用
此时恶意用户A再用受害者B的手机号找回密码
用户A在B的验证表单填入自己收到的验证码,发送
此时跳转的修改密码页面修改的就是用户B的密码
9,无需旧密码验证:
修改密码,发现不需要输入原来的旧密码,直接设置新的密码,
这个时候就直接存在了csrf漏洞,构造链接,直接就修改了
php?token=2&username=test&password=tst
支付漏洞:攻击者通过修改交易金额、交易数量等从而利用漏洞,如Burp修改交易金额、使交易数量为负数或无限大等。
1、支付过程中可直接修改数据包中的支付金额
金额后端没有做校验,传递过程中也没有做签名,导致可以随意篡改金额提交。
2、没有对购买数量进行负数限制,购买数量无限大,
无限大时则程序可能处理出错,从而实现0金额支付
3、请求重放,实现”一次购买对此收货”
4、其他参数干扰
在支付时直接修改数据包中的支付金额,实现小金额购买大金额商品
修改购买数量,使之为负数,可购买负数量商品,从而扣除负积分,即增加积分,
或使购买数量无限大,无限大时则程序可能处理出错,从而实现0金额支付
请求重放,在购买成功后重放请求,可实现"一次购买对此收货"
基本案例:案例1
会员注册用户:
test
test
验证码0566
登录密码没有验证码,可以直接暴力破解用户名和密码
因为服务端没有及时销毁,就可以使用burp批量注册
每个参数多可能存在逻辑漏洞,修改参数,看能不能提交成功。
burp发送到爆破,变量,username,password,email
然后加载3个字典,批量注册了,有木有,发现响应都是200,证明存在这个漏洞
这个时候所有的用户都可以登陆
修改密码:
1234567
1234567
拦截数据包,查看参数值,发现当我们把用户修改成别人的,然后可以修改成功,这个时候越权漏洞就产生了。
投票系统:
我们抓包,删除cookie信息,或者是ip地址判断的
然后使用burp跑字典
案例二
后台地址,访问,提示不能直接访问,查看源代码,发现后台是referer判断,
这个容易绕过,burp抓包,然后进到了后台页面,
然后找到数据备份,找到referer,
然后普通用户,添加referer伪造地址,
接着看到了script限制,我们使用chrome,不允许script,然后重新访问
就直接突破了,这个不能使用firebox
参数越权
地址管理处,修改任意收获信息,造成敏感信息泄露
地址管理---修改---burp抓到数据包get链接---有一个address_id,是收货人的地址对应的id--将参数替换成任意值---这个时候发现收货人的地址发生改变了,修改了收货人的信息了。
建议是,对用户修改以及查看地址进行权限校验,避免越权操作,如果越权,直接错误页面你,或者账户退出
注册一个账号,邮箱需要激活才能登陆---点击重新发送-burp抓包,在uid处,修改参数值,可以发送邮箱炸弹。
修复建议:
对激活邮件限制发送次数
越权其他用户信息:
登录抓取cookie信息,有手机号码在Cookie
这个时候,我们修改cookie中的手机号,查看其他用户的信息
参数越权:
直接访问一个页面,能看到其他用户的订单号
注册工程中,返回全部用户的注册信息
当我用别人邮箱注册的时候,爆出来了别人的信息,
我们只需要别人的用户,就可以了
服务费的绕过:
点击还款,然后get抓包,修改参数,为0或者1,就直接绕过,还款成功。
积分数值允许喂负数