src逻辑漏洞挖掘经验分享

文章转自公众号:物联网IOT安全

1.资产收集

1.1业务范围

巧用搜索引擎首推谷歌查看了解src旗下涉及到的业务,收集其对应的业务下的域名,在进一步进行挖掘,比如:
src逻辑漏洞挖掘经验分享_第1张图片
src逻辑漏洞挖掘经验分享_第2张图片
整理后,在进行常规资产收集。
src逻辑漏洞挖掘经验分享_第3张图片

1.2常规性质资产收集

基本的资产收集方式:子域名枚举、端口扫描、路径扫描、旁站c段查询

子域名
子域名爆破:
sublist3r、subdomainsBurte、DiscoverSubdomain、layer子域名挖掘机。
src逻辑漏洞挖掘经验分享_第4张图片
子域名枚举
通过网络空间安全搜索引擎
云悉资产、FOFA、Virustotal、Dnsdumpster、Threatcrowd

src逻辑漏洞挖掘经验分享_第5张图片
src逻辑漏洞挖掘经验分享_第6张图片
路径扫描
dirsearch、御剑

src逻辑漏洞挖掘经验分享_第7张图片
旁站C段查询

在线旁站C段查询:www.webscan.cc、www.5kik.com、phpinfo.me

1.3信息泄漏

敏感目录/文件
猪猪侠weakfilescan、cansina、sensitivefilescan、FileSensor

src逻辑漏洞挖掘经验分享_第8张图片
网页源码/js/json泄漏敏感接口

1)接口泄漏
src逻辑漏洞挖掘经验分享_第9张图片
2)json敏感信息泄漏

src逻辑漏洞挖掘经验分享_第10张图片

src逻辑漏洞挖掘经验分享_第11张图片
a)网站源码涉及到的子域名url接口资产爬取
b)网站源码js中包含的请求或拼接的访问接口
c)高级功能,url接口中json信息泄漏识别

1.4其他业务查找

微信公众号绑定接口、app、老旧的登录接口、版本迭代

2.越权

改识别用户参数;
改cookie;
越权访问;
登录后,修改密码,未校验id与用户,修改id,即可改其他人密码;
修改个人数据时,页面源代码有用户标识符id,抓包修改或添加id;
直接访问后台链接禁用js则不会跳转登录界面,直接登录;
登陆分为账号和游客登陆,游客功能有限,app端只做前端检测,模拟发包即可;
越权订单查看打印下载、越权操作他人收货地址、增删改查等。

3.逻辑漏洞

任意用户注册、密码重置、密码找回。

3.1本地验证、修改返回包

1)获取验证码后任意输入一个验证码。

src逻辑漏洞挖掘经验分享_第12张图片
2)抓包放行,得到的返回包如下

src逻辑漏洞挖掘经验分享_第13张图片
3)抓包改返回包修改为正确的返回包覆盖错误的返回包,如下
{“code”:1,”data”:”目标用户手机号”,”msg”:”绑定成功Ÿ”}

src逻辑漏洞挖掘经验分享_第14张图片
4)放行,修改成功

src逻辑漏洞挖掘经验分享_第15张图片

3.2手机号、验证码、用户未统一验证问题

未对原绑定手机号、验证码、用户未统一验证,或验证码未绑定,只验证验证码正确,没判断用户id或手机号,修改想改的id正确手机验证验证码即可。
如密码找回重置时未对原绑定手机号验证进行任意账号密码重置。
src逻辑漏洞挖掘经验分享_第16张图片
src逻辑漏洞挖掘经验分享_第17张图片
150**73账号被重置

src逻辑漏洞挖掘经验分享_第18张图片

3.3密码重置类其他逻辑问题

1.以重置成功的token覆盖最后一步错误的token和1类似。
2.密码重置时删除mobilephone参数值修改email参数值。
3.假如找回需要4步,最后一步有user参数,用自己账号正常到第三步,第四步修改user实现。
4.支付逻辑漏洞
5.可跳过步骤、

6.爆破、枚举

1.撞库,登录时无验证码且可无限被尝试,用户名验证时有无用户名错误回显、密码可被爆破。
2.无验证码,验证码不刷新,验证码4位过于简单,无尝试册数限制可被爆破。
3.枚举注册用户,输入用户名,发送请求验证用户名是否正确(若返回次数限制,可测试服务端未限制高频访问)。
4.登陆失败有次数限制,若包中有限制参数可更改或删除参数。
5.邮箱轰炸,短信轰炸,burp repeater,短信宏站验证码有60秒限制时,有的参数修改后可绕过,如:
1)isVerfi参数,这里是1,回包3,手机没收到信息,存在验证码限制。
src逻辑漏洞挖掘经验分享_第19张图片
改为0,回显2,绕过了验证码限制。
src逻辑漏洞挖掘经验分享_第20张图片

7.其他

cookie一直有效(修改密码后仍有效)
第三方账户登录绕过(拦截微博授权成功的请求地址:https://api.weibo.com/oauth2/sso_authorize?sflag=1 修改response中的uid,服务端没有校验客户端提交的uid与授权成功的uid相同)

你可能感兴趣的:(笔记)