一次水平越权，导致平台两万人被修改密码

朋友某资讯平台要上线，简单的对他账号认证这一块做了一下安全测试。repeater暴露出来的若干问题：

先找到了Login登录口，短信验证码的请求抓包，然后放到repeater里面疯狂的gogogogo

然后就发现自己被短信轰炸的一脸懵逼

tips：短信轰炸原理  有专门的提供短信接口的服务商，而网站买了服务商的业务。但在网站的后端逻辑上存在问题，如未对请求频率进行限制等。就产生了定向轰炸。即为我们常说的短信轰炸机。上面所说的是定向用户的短信高频率的发送信息，造成的短信轰炸。

而有的网站后台进行限制，禁止向一个用户发送一天超过5条的数量限制。但攻击者则可以进行水平方向的手机号遍历。

网站都是买的短信服务。1000条短信多少多少钱；而该问题直接导致了大量的短信资源浪费）。

抓一下接收短信验证码的请求，放在repeater里面重放一下，我手机就收到了铺天盖地的验证码   

就一个repeater就发现了若干个问题:

网站上的验证码未更新，可以被攻击者暴力猜解。

短信验证码为四位数且为30分钟，为暴力猜解给出了想当长的时间。

没有限制发送短信验证码的次数和频率，可恶意消耗企业资源。

简单的任意账户密码重置

我们随便输入一个四位数验证码，点击注册后抓到了request请求扔进intruder准备暴力。Payload我们这里选择Bruteforcer设置为四个纯数字，不过是1000个数字，而且是30分钟失效。并且为了防止触发waf，可以把线程调低一些。

Intruder经过一段时间的便利后，我们发现了有个数据包明显跟别的长度是不一样的。大家在使用intruder功能时可以关注length，数据包我们是不可能一个个去翻着看的。而筛选出数据包特征，则便于我们方便的查看漏洞信息

水平越权导致全平台两万用户存在风险

经过刚才的问题，我们已经可以通过手机扫号进行盗取任意账户了。如果手机号存在，我们就可以点击获取验证码后，暴力的去破解验证嘛。但如何才能盗取全平台账户，只通过手机扫号则是个棘手的问题了。我们把刚才的网址链接取出来，则是这样的http://xxx.xx.com.cn/index.php/Login/login_xxx_pwd.html?niuerid=21926

但是url挺有意思，突然感觉事情好像没有这么简单……niuerid？？？

这个参数疑似为用户的ID，例如每个账户都会有一个ID。我又创建了一个账号进行复验，拿到自己的niuerid。最后，一个url就可以通过niuerid改掉我新账号的密码。也就是说，我们打开这个网址，就可以水平越权所有平台账户

分析一下

至此为止，我们发现俩中低危。手机验证码无限重放漏洞+水平越权。

这里给出的安全意见：

1、手机验证码至少是6位，而且限制访问次数。

2、每个账号重置的地址，应该是绑定权限的，不能只通过一个参数就重置这么简单。

相关实验合天网安实验室也已上线，欢迎小伙伴们前去实践

Burp 暴力破解

实验简介：

通过该实验掌握burp的配置方法和相关模块的使用方法，对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题，以此加强网站安全。

实验链接：http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014112610341500001

权限绕过

实验简介：

越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。通过该实验了解权限绕过漏洞，掌握常见的权限绕过漏洞原理以及漏洞检测利用和漏洞防护。

实验链接：http://www.hetianlab.com/expc.do?ec=ECIDee9320adea6e062018031511354800001

声明：漏洞已拿去修复，后续的安全测试没贴，毕竟人家是需要上线的业务。笔者初衷用于分享与普及网络知识，若读者因此作出任何危害网络安全行为后果自负，与合天智汇及原作者无关。