码迷,mamicode.com
首页 > 其他好文 > 详细

业务安全漏洞挖掘要点

时间:2016-05-12 21:17:51      阅读:147      评论:0      收藏:0      [点我收藏+]

标签:

业务安全漏洞挖掘要点

技术分享

1 身份认证安全

 暴力破解

  用暴力穷举的方式大量尝试性地猜破密码。 一般包括字典攻击和暴力穷举。

  示例

   360云盘分享码可以被暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0121646

   淘米网登陆不需验证码导致暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0145757

  防御方法:

   验证码机制,一次请求一次验证码

   登录失败处理功能,登录次数限制,锁定功能

   二次认证机制

  工具:

   BurpSuite工具

 撞库

  示例

   百合网暴力破解用户名密码成功率极高 http://www.wooyun.org/bugs/wooyun-2010-091527

   华为云服务可以暴力破解和撞库 http://www.wooyun.org/bugs/wooyun-2014-078348

  工具:

   htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan

  撞库攻击防御方式

   统一所有登录接口,废弃每个应用单独的登录入口

   子主题

 弱加密机制

  示例:

   某在线培训系统Base64编码后通用SQL盲注漏洞 http://www.wooyun.org/bugs/wooyun-2015-0120906

  采用md5,base64等密码编码技术

  防御方式

   未采用hash+salt的方式进行加密

2 业务性一致性安全

 业务一致性主要避免用户垂直、平行和任意信息获取。

 手机号篡改

  通过抓包修改手机号码参数为其他号码尝试获取信息

  例如在办理查询页面,输入自己的号码然后抓包, 修改手机号码参数为其他人号码,查看是否能查询其他人的业务。

  示例:

   国美某分站绑定手机号码任意重置可修改交易密码 http://www.wooyun.org/bugs/wooyun-2010-0166377

 邮箱或者用户篡改

  抓包修改用户或者邮箱参数为其他用户或者邮箱

  示例

   绿盟RSAS安全系统全版本通杀权限管理员绕过漏洞,包括最新 RSAS V5.0.13.2 http://www.wooyun.org/bugs/wooyun-2014-074441

 订单id篡改

  查看自己的订单id,然后修改id(加减一)查看是否能查看其它订单信息。

  示例

    广之旅旅行社任意访问用户订单 http://www.wooyun.org/bugs/wooyun-2013-044137

 商品编号篡改

  例如积分兑换处,100个积分只能换商品编号为001, 1000个积分只能换商品编号005, 在100积分换商品的时候抓包把换商品的编号修改为005, 用低积分换区高积分商品。

  示例

   联想某积分商城支付漏洞再绕过 http://www.wooyun.org/bugs/wooyun-2013-041617

   联想积分商城逻辑锉刀导致支付漏洞 http://www.wooyun.org/bugs/wooyun-2013-037058

 用户id篡改

  抓包查看自己的用户id,然后修改id(加减1)查看是否能查看其它用户id信息。

  示例:

   拉勾网百万简历泄漏风险 http://www.wooyun.org/bugs/wooyun-2015-0111617

3 业务数据篡改

 金额数据篡改

  抓包修改金额等字段,例如在支付页面抓取请求中商品的金额字段, 修改成任意数额的金额并提交,查看能否以修改后的金额数据完成业务流程。

  示例

   12308订单支付时的总价未验证漏洞(支付逻辑漏洞) http://www.wooyun.org/bugs/wooyun-2015-0117083

   destoon无限制增加帐号资金 http://www.wooyun.org/bugs/wooyun-2014-050481

 商品数量篡改

  抓包修改商品数量等字段,将请求中的商品数量修改成任意数额, 如负数并提交,查看能否以修改后的数量完成业务流程。

  示例

   蔚蓝团支付逻辑漏洞(可负数支付) http://www.wooyun.org/bugs/wooyun-2015-0109037

 最大数限制突破

  很多商品限制用户购买数量时,服务器仅在页面通过js脚本限制,未在服务器端校验用户提交的数量, 通过抓包修改商品最大数限制,将请求中的商品数量改为大于最大数限制的值, 查看能否以修改后的数量完成业务流程。

 本地js参数修改

  部分应用程序通过Javascript处理用户提交的请求, 通过修改Javascript脚本,测试修改后的数据是否影响到用户。

4 用户输入合规性

 注入测试

 xss跨站脚本

 Fuzz测试

  功能测试用的多一些,有可能一个超长特殊字符串导致系统拒绝服务或者功能缺失。

  可能会用的工具 —— spike

 其他用用户输入交互的应用漏洞

5 密码找回漏洞

 密码找回功能本意是设计给那些忘记密码的用户,以便他们能够找回自己的密码。

 示例:

  百合网修改任意妹子账号密码漏洞 http://www.wooyun.org/bugs/wooyun-2012-014594

 密码找回漏洞总结

  http://drops.wooyun.org/web/5048

 流程:

  i.首先尝试正常密码找回流程,选择不同找回方式,记录所有数据包

  ii. 分析数据包,找到敏感部分

  iii.分析后台找回机制所采用的验证手段

  iv. 修改数据包验证推测

6 验证码突破

 验证码不单单在登录、找密码应用,提交敏感数据的地方也有类似应用

 验证码暴力破解测试

  使用burp对特定的验证码进行暴力破解

  盟友88电商平台任意用户注册与任意用户密码重置漏洞打包 http://www.wooyun.org/bugs/wooyun-2015-093932

 验证码时间、次数测试

  抓取携带验证码的数据包不断重复提交。

  例如:在投诉建议处输入要投诉的内容信息,及验证码参数, 时抓包重复提交数据包,查看历史投诉中是否存在重复提交的参数信息。

 验证码客户端回显测试

  当客户端有需要和服务器进行交互,发送验证码时, 即可使用firefox按F12调出firebug就可看到客户端与服务器进行交互的详细信息

 验证码绕过测试

  当第一步向第二步跳转时,抓取数据包, 证码进行篡改清空测试,验证该步骤验证码是否可以绕过。

  示例

   中国电信某IDC机房信息安全管理系统设计缺陷致使系统沦陷 http://www.wooyun.org/bugs/wooyun-2015-098765

 验证码js绕过

  短信验证码验证程序逻辑存在缺陷, 业务流程的第一步、第二部、第三步都是放在同一个页面里, 验证第一步验证码是通过js来判断的, 可以修改验证码在没有获取验证码的情况下可以填写实名信息,并且提交成功。

7 业务授权安全

 未授权访问

  非授权访问是指用户在没有通过认证授权的情况下能够直接访问 需要通过认证才能访问到的页面或文本信息。 可以尝试在登录某网站前台或后台之后,将相关的页面链接复制 于其他浏览器或其他电脑上进行访问,看是否能访问成功。

 越权访问

  越权漏洞的成因主要是因为开发人员在对数据进行增、删、 改、查询时对客户端请求的数据过分相信而遗漏了权限的判定

  垂直越权(垂直越权是指使用权限低的用户可以访问权限较高的用户)

  水平越权(水平越权是指相同权限的不同用户可以互相访问)

  《我的越权之道》URL:http://drops.wooyun.org/tips/727

 示例

  广州地铁某系统越权访问漏洞可导致内部人员信息泄露 http://www.wooyun.org/bugs/wooyun-2010-0157827

  红塔证券从log日志越权访问到OA沦陷(众多信息沦陷) http://www.wooyun.org/bugs/wooyun-2015-0161316

8 业务流程乱序

 顺序执行缺陷

 1、部分网站逻辑可能是先A过程后B过程然后C过程最后D过程 2、用户控制着他们给应用程序发送的每一个请求,因此能够按照任何顺序进行访问。 于是,用户就从B直接进入了D过程,就绕过了C。如果C是支付过程, 那么用户就绕过了支付过程而买到了一件商品。如果C是验证过程,就会绕过验证直接进入网站程序了。

 示例

  淘美网逻辑漏洞美女QQ、手机号等信息免费任意看(1分钱都不给) http://wooyun.org/bugs/wooyun-2010-0108184

9 业务接口调用

 重放攻击

  在短信、邮件调用业务或生成业务数据环节中 (类:短信验证码,邮件验证码,订单生成,评论提交等), 对其业务环节进行调用(重放)测试。 如果业务经过调用(重放)后被多次生成有效的业务或数据结果

  一亩田交易网逻辑漏洞(木桶原理) http://www.wooyun.org/bugs/wooyun-2015-094545

 内容编辑

10 时效性绕过

 时间刷新缺陷

 12306网站的买票业务是每隔5s,票会刷新一次。但是这个时间确实在本地设置的间隔。 于是,在控制台就可以将这个时间的关联变量重新设置成1s或者更小, 这样刷新的时间就会大幅度缩短(主要更改autoSearchTime本地参数)。

  12306自动刷票时间可更改漏洞 http://www.wooyun.org/bugs/wooyun-2014-048391

 时间范围测试

 针对某些带有时间限制的业务,修改其时间限制范围, 1、例如在某项时间限制范围内查询的业务,修改含有时间明文字段的请求并提交, 查看能否绕过时间限制完成业务流程。 2、例如通过更改查询手机网厅的受理记录的month范围,可以突破默认只能查询六个月的记录。


思维导图:
技术分享

业务安全漏洞挖掘要点

标签:

原文地址:http://blog.csdn.net/shewey/article/details/51353825

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!