十大漏洞之逻辑漏洞

2017-11-28  本文已影响0人  景冠华

LAZY

在十大漏洞中,逻辑漏洞被称为“不安全的对象引用,和功能级访问控制缺失”。现如今,越权和逻辑漏洞占用比例比较高,包括任意查询用户信息,重置任意用户密码,验证码爆破等。

逻辑漏洞:

常见的逻辑漏洞:

交易支付,密码修改,密码找回,越权修改,越权查询,,突破限制等各种逻辑漏洞

不安全的对象引用指的是平行权限的访问控制缺失

A,B同为普通用户,他们之间彼此之间的个人资料应该相互保密的,

A的资料如果被B用户利用程序访问控制的缺失而已查看,这就是平行权限的关系。

功能级别访问控制缺失指的是垂直权限的访问控制缺失

A是普通用户,B是管理员,B的页面登录访问需要密码和token.

A账号能直接输入管理页面URL的方式绕过管理员登录限制查看管理员页面,这个时候A,B就是垂直关系。

逻辑漏洞的挖掘:

基本步骤:

1,先尝试正确操作流程,记录不同找回方式的所有数据包

2,分析数据包,找到有效数据部分

3,推测数据构造方法

4,构造数据包验证猜测

比如说,加入购物车,我是不是可以修改购买的数量,修改成负数,商品的价格是不是可以修改;

确认购物车信息时,是不是可以修改商品的数量为负数,是不是可以突破打折的限制;

输入运费,可不可以被修改;

确认订单后,能不能直接修改支付金额,可否不支付直接跳转到交易成功;

逻辑漏洞的利用:

用户凭证暴力破解:

四位或者六位的纯数字,无需验证码,直接burp爆破;

四位或者六位的纯数字,需要验证码,但是验证码没有及时撤销,也可以直接burp爆破;

四位或者六位的纯数字,需要验证码,但是验证码没有及时撤销,也可以直接burp爆破;

如果验证不是很验过,burp抓包,在后面手机号后面添加特殊字符绕过第一次防御

防御----对它提交的次数做一个过滤

防御----只要尝试超过三次,就加入黑名单

返回凭证:

burp抓包的时候,url返回验证码及token,时间戳的md5,修改token为1或0,绕过凭证。

密码找回漏洞:

大纲如下图所示:

一般都是通过验证问题,验证邮箱,验证手机号码,等操作进行找回。

基本步骤:

* 先尝试正确的密码找回流程,记录不同找回方式的所有数据包

* 分析数据包,找到有效数据部分

* 推测数据构造方法

* 构造数据包验证猜测

简单案例:

1,邮箱验证:

一般是点击邮件中的链接后会转跳到修密码的页面,这就需要分析链接的token构造了,

可以考虑是时间戳md5、用户名或邮箱和随机字符串md5等,一般是类似如下链接:

php?u=xiaoming&token=MTIzQHFxLmNvbQ==

php?id=374&token=2ad64bf14c714dbce88c7993663da7da

当构造相应链接时就可以重置任意用户的密码

2,手机短信验证:

短信找回一般就是4位或6位验证码,暴力猜测吧

3,无需验证,直接修改:

在修改密码时跳过选择找回方式,直接访问修改密码的页面进行修改

4,本地验证:

随意输入一个验证码,开Burp抓包,forward,抓返回包,返回包里可能有一个token字段,

若token的值为1则跳转到修改密码页面,所以只要修改返回包即可

5,服务端将验证码返回给浏览器:

在点击获取验证码时,服务器会将验证码发送给浏览器,抓包即可

6,验证码直接出现在url中:

当点击获取验证码时发出的请求链接中直接有code,或者直接在源代码里面。

7,密保问题找回:

回答密保问题,有时一些答案就在html源码里

8,找回逻辑错误:

若恶意用户A用15123333333找回密码,此时收到验证码但不使用

此时恶意用户A再用受害者B的手机号找回密码

用户A在B的验证表单填入自己收到的验证码,发送

此时跳转的修改密码页面修改的就是用户B的密码

9,无需旧密码验证:

修改密码,发现不需要输入原来的旧密码,直接设置新的密码,

这个时候就直接存在了csrf漏洞,构造链接,直接就修改了

php?token=2&username=test&password=tst

支付漏洞:攻击者通过修改交易金额、交易数量等从而利用漏洞,如Burp修改交易金额、使交易数量为负数或无限大等。

1、支付过程中可直接修改数据包中的支付金额

金额后端没有做校验,传递过程中也没有做签名,导致可以随意篡改金额提交。

2、没有对购买数量进行负数限制,购买数量无限大,

无限大时则程序可能处理出错,从而实现0金额支付

3、请求重放,实现”一次购买对此收货”

4、其他参数干扰

在支付时直接修改数据包中的支付金额,实现小金额购买大金额商品

修改购买数量,使之为负数,可购买负数量商品,从而扣除负积分,即增加积分,

或使购买数量无限大,无限大时则程序可能处理出错,从而实现0金额支付

请求重放,在购买成功后重放请求,可实现"一次购买对此收货"

基本案例:案例1

会员注册用户:

test

test

验证码0566

登录密码没有验证码,可以直接暴力破解用户名和密码

因为服务端没有及时销毁,就可以使用burp批量注册

每个参数多可能存在逻辑漏洞,修改参数,看能不能提交成功。

burp发送到爆破,变量,username,password,email

然后加载3个字典,批量注册了,有木有,发现响应都是200,证明存在这个漏洞

这个时候所有的用户都可以登陆

修改密码:

1234567

1234567

拦截数据包,查看参数值,发现当我们把用户修改成别人的,然后可以修改成功,这个时候越权漏洞就产生了。

投票系统:

我们抓包,删除cookie信息,或者是ip地址判断的

然后使用burp跑字典

案例二

后台地址,访问,提示不能直接访问,查看源代码,发现后台是referer判断,

这个容易绕过,burp抓包,然后进到了后台页面,

然后找到数据备份,找到referer,

然后普通用户,添加referer伪造地址,

接着看到了script限制,我们使用chrome,不允许script,然后重新访问

就直接突破了,这个不能使用firebox

参数越权

地址管理处,修改任意收获信息,造成敏感信息泄露

地址管理---修改---burp抓到数据包get链接---有一个address_id,是收货人的地址对应的id--将参数替换成任意值---这个时候发现收货人的地址发生改变了,修改了收货人的信息了。

建议是,对用户修改以及查看地址进行权限校验,避免越权操作,如果越权,直接错误页面你,或者账户退出

注册一个账号,邮箱需要激活才能登陆---点击重新发送-burp抓包,在uid处,修改参数值,可以发送邮箱炸弹。

修复建议:

对激活邮件限制发送次数

越权其他用户信息:

登录抓取cookie信息,有手机号码在Cookie

这个时候,我们修改cookie中的手机号,查看其他用户的信息

参数越权:

直接访问一个页面,能看到其他用户的订单号

注册工程中,返回全部用户的注册信息

当我用别人邮箱注册的时候,爆出来了别人的信息,

我们只需要别人的用户,就可以了

服务费的绕过:

点击还款,然后get抓包,修改参数,为0或者1,就直接绕过,还款成功。

积分数值允许喂负数

上一篇下一篇

猜你喜欢

热点阅读