业务安全漏洞挖掘归纳总结一
0x01 身份认证安全
1 暴力破解
在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839
一些工具及脚本
Burpsuite
htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan
hydra 源码安装xhydra支持更多的协议去爆破 (可破WEB,其他协议不属于业务安全的范畴)
2 session & cookie类
会话固定攻击:利用服务器的session不变机制,借他人之手获得认证和授权,冒充他人。案例:WooYun: 新浪广东美食后台验证逻辑漏洞,直接登录后台,566764名用户资料暴露!
Cookie仿冒:修改cookie中的某个参数可以登录其他用户。 案例:益云广告平台任意帐号登录WooYun: 益云广告平台任意帐号登录
3 弱加密
未使用https,是功能测试点,不好利用。
前端加密,用密文去后台校验,并利用smart decode可解
0x02 业务一致性安全√
1 手机号篡改
a) 抓包修改手机号码参数为其他号码尝试,例如在办理查询页面,输入自己的号码然后抓包,修改手机号码参数为其他人号码,查看是否能查询其他人的业务。
2 邮箱或者用户篡改
a) 抓包修改用户或者邮箱参数为其他用户或者邮箱
b) 案例: WooYun: 绿盟RSAS安全系统全版本通杀权限管理员绕过漏洞,包括最新 RSAS V5.0.13.2
3 订单id篡改
a) 查看自己的订单id,然后修改id(加减一)查看是否能查看其它订单信息。
b) 案例: WooYun: 广之旅旅行社任意访问用户订单
4 商品编号篡改
a) 例如积分兑换处,100个积分只能换商品编号为001,1000个积分只能换商品编号005,在100积分换商品的时候抓包把换商品的编号修改为005,用低积分换区高积分商品。
b) 案例:联想某积分商城支付漏洞再绕过 WooYun: 联想某积分商城支付漏洞再绕过
5 用户id篡改
a) 抓包查看自己的用户id,然后修改id(加减1)查看是否能查看其它用户id信息。
b) 案例: WooYun: 拉勾网百万简历泄漏风险(包括手机、邮件、应聘职位等信息、还可冒充企业身份筛选简历、发面试通知等)
0x03 业务数据篡改√
1 金额数据篡改
a) 抓包修改金额等字段,例如在支付页面抓取请求中商品的金额字段,修改成任意数额的金额并提交,查看能否以修改后的金额数据完成业务流程。 b) 案例: WooYun: 12308订单支付时的总价未验证漏洞(支付逻辑漏洞)
2 商品数量篡改
a) 抓包修改商品数量等字段,将请求中的商品数量修改成任意数额,如负数并提交,查看能否以修改后的数量完成业务流程。 b) 案例: WooYun: 蔚蓝团支付逻辑漏洞(可负数支付)
3 最大数限制突破
a) 很多商品限制用户购买数量时,服务器仅在页面通过js脚本限制,未在服务器端校验用户提交的数量,通过抓包修改商品最大数限制,将请求中的商品数量改为大于最大数限制的值,查看能否以修改后的数量完成业务流程。
4本地js参数修改
a) 部分应用程序通过Javascript处理用户提交的请求,通过修改Javascript脚本,测试修改后的数据是否影响到用户。
0x04 用户输入合规性
1 注入测试 请参考http://wiki.wooyun.org/web:sql
2 XSS测试 请参考http://wiki.wooyun.org/web:xss
3 Fuzz
a) 功能测试用的多一些,有可能一个超长特殊字符串导致系统拒绝服务或者功能缺失。(当然fuzz不单单这点用途。)
b) 不太符合的案例,但思路可借鉴: WooYun: 建站之星模糊测试实战之任意文件上传漏洞
c) 可能会用的工具 —— spike
4 其他用用户输入交互的应用漏洞
0x05 密码找回漏洞
1 大力推荐BMa的《密码找回逻辑漏洞总结》
http://drops.wooyun.org/web/5048
a) 密码找回逻辑测试一般流程
i. 首先尝试正常密码找回流程,选择不同找回方式,记录所有数据包
ii. 分析数据包,找到敏感部分
iii. 分析后台找回机制所采用的验证手段
iv. 修改数据包验证推测
b) 脑图 (详情请参考BMa的《密码找回逻辑漏洞总结》)
