业务安全漏洞挖掘要点

业务安全漏洞挖掘要点

1 身份认证安全

 暴力破解

  用暴力穷举的方式大量尝试性地猜破密码。 一般包括字典攻击和暴力穷举。

  示例

   360云盘分享码可以被暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0121646

   淘米网登陆不需验证码导致暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0145757

  防御方法：

   验证码机制，一次请求一次验证码

   登录失败处理功能，登录次数限制，锁定功能

   二次认证机制

  工具：

   BurpSuite工具

 撞库

  示例

   百合网暴力破解用户名密码成功率极高 http://www.wooyun.org/bugs/wooyun-2010-091527

   华为云服务可以暴力破解和撞库 http://www.wooyun.org/bugs/wooyun-2014-078348

  工具：

   htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan

  撞库攻击防御方式

   统一所有登录接口，废弃每个应用单独的登录入口

   子主题

 弱加密机制

  示例：

   某在线培训系统Base64编码后通用SQL盲注漏洞 http://www.wooyun.org/bugs/wooyun-2015-0120906

  采用md5，base64等密码编码技术

  防御方式

   未采用hash+salt的方式进行加密

2 业务性一致性安全

 业务一致性主要避免用户垂直、平行和任意信息获取。

 手机号篡改

  通过抓包修改手机号码参数为其他号码尝试获取信息

  例如在办理查询页面，输入自己的号码然后抓包， 修改手机号码参数为其他人号码，查看是否能查询其他人的业务。

  示例：

   国美某分站绑定手机号码任意重置可修改交易密码 http://www.wooyun.org/bugs/wooyun-2010-0166377

 邮箱或者用户篡改

  抓包修改用户或者邮箱参数为其他用户或者邮箱

  示例

   绿盟RSAS安全系统全版本通杀权限管理员绕过漏洞，包括最新 RSAS V5.0.13.2 http://www.wooyun.org/bugs/wooyun-2014-074441

 订单id篡改

  查看自己的订单id，然后修改id（加减一）查看是否能查看其它订单信息。

  示例

    广之旅旅行社任意访问用户订单 http://www.wooyun.org/bugs/wooyun-2013-044137

 商品编号篡改

  例如积分兑换处，100个积分只能换商品编号为001, 1000个积分只能换商品编号005， 在100积分换商品的时候抓包把换商品的编号修改为005， 用低积分换区高积分商品。

  示例

   联想某积分商城支付漏洞再绕过 http://www.wooyun.org/bugs/wooyun-2013-041617

   联想积分商城逻辑锉刀导致支付漏洞 http://www.wooyun.org/bugs/wooyun-2013-037058

 用户id篡改

  抓包查看自己的用户id，然后修改id（加减1）查看是否能查看其它用户id信息。

  示例：

   拉勾网百万简历泄漏风险 http://www.wooyun.org/bugs/wooyun-2015-0111617

3 业务数据篡改

 金额数据篡改

  抓包修改金额等字段，例如在支付页面抓取请求中商品的金额字段， 修改成任意数额的金额并提交，查看能否以修改后的金额数据完成业务流程。

  示例

   12308订单支付时的总价未验证漏洞(支付逻辑漏洞) http://www.wooyun.org/bugs/wooyun-2015-0117083

   destoon无限制增加帐号资金 http://www.wooyun.org/bugs/wooyun-2014-050481

 商品数量篡改

  抓包修改商品数量等字段，将请求中的商品数量修改成任意数额， 如负数并提交，查看能否以修改后的数量完成业务流程。

  示例

   蔚蓝团支付逻辑漏洞(可负数支付) http://www.wooyun.org/bugs/wooyun-2015-0109037

 最大数限制突破

  很多商品限制用户购买数量时，服务器仅在页面通过js脚本限制，未在服务器端校验用户提交的数量， 通过抓包修改商品最大数限制，将请求中的商品数量改为大于最大数限制的值， 查看能否以修改后的数量完成业务流程。

 本地js参数修改

  部分应用程序通过Javascript处理用户提交的请求， 通过修改Javascript脚本，测试修改后的数据是否影响到用户。

4 用户输入合规性

 注入测试

 xss跨站脚本

 Fuzz测试

  功能测试用的多一些，有可能一个超长特殊字符串导致系统拒绝服务或者功能缺失。

  可能会用的工具 —— spike

 其他用用户输入交互的应用漏洞

5 密码找回漏洞

 密码找回功能本意是设计给那些忘记密码的用户，以便他们能够找回自己的密码。

 示例：

  百合网修改任意妹子账号密码漏洞 http://www.wooyun.org/bugs/wooyun-2012-014594

 密码找回漏洞总结

  http://drops.wooyun.org/web/5048

 流程：

  i.首先尝试正常密码找回流程，选择不同找回方式，记录所有数据包

  ii. 分析数据包，找到敏感部分

  iii.分析后台找回机制所采用的验证手段

  iv. 修改数据包验证推测

6 验证码突破

 验证码不单单在登录、找密码应用，提交敏感数据的地方也有类似应用

 验证码暴力破解测试

  使用burp对特定的验证码进行暴力破解

  盟友88电商平台任意用户注册与任意用户密码重置漏洞打包 http://www.wooyun.org/bugs/wooyun-2015-093932

 验证码时间、次数测试

  抓取携带验证码的数据包不断重复提交。

  例如：在投诉建议处输入要投诉的内容信息，及验证码参数， 时抓包重复提交数据包，查看历史投诉中是否存在重复提交的参数信息。

 验证码客户端回显测试

  当客户端有需要和服务器进行交互，发送验证码时， 即可使用firefox按F12调出firebug就可看到客户端与服务器进行交互的详细信息

 验证码绕过测试

  当第一步向第二步跳转时，抓取数据包， 证码进行篡改清空测试，验证该步骤验证码是否可以绕过。

  示例

   中国电信某IDC机房信息安全管理系统设计缺陷致使系统沦陷 http://www.wooyun.org/bugs/wooyun-2015-098765

 验证码js绕过

  短信验证码验证程序逻辑存在缺陷， 业务流程的第一步、第二部、第三步都是放在同一个页面里， 验证第一步验证码是通过js来判断的， 可以修改验证码在没有获取验证码的情况下可以填写实名信息，并且提交成功。

7 业务授权安全

 未授权访问

  非授权访问是指用户在没有通过认证授权的情况下能够直接访问 需要通过认证才能访问到的页面或文本信息。 可以尝试在登录某网站前台或后台之后，将相关的页面链接复制 于其他浏览器或其他电脑上进行访问，看是否能访问成功。

 越权访问

  越权漏洞的成因主要是因为开发人员在对数据进行增、删、 改、查询时对客户端请求的数据过分相信而遗漏了权限的判定

  垂直越权（垂直越权是指使用权限低的用户可以访问权限较高的用户）

  水平越权（水平越权是指相同权限的不同用户可以互相访问）

  《我的越权之道》URL：http://drops.wooyun.org/tips/727

 示例

  广州地铁某系统越权访问漏洞可导致内部人员信息泄露 http://www.wooyun.org/bugs/wooyun-2010-0157827

  红塔证券从log日志越权访问到OA沦陷（众多信息沦陷） http://www.wooyun.org/bugs/wooyun-2015-0161316

8 业务流程乱序

 顺序执行缺陷

 1、部分网站逻辑可能是先A过程后B过程然后C过程最后D过程 2、用户控制着他们给应用程序发送的每一个请求，因此能够按照任何顺序进行访问。 于是，用户就从B直接进入了D过程，就绕过了C。如果C是支付过程， 那么用户就绕过了支付过程而买到了一件商品。如果C是验证过程，就会绕过验证直接进入网站程序了。

 示例

  淘美网逻辑漏洞美女QQ、手机号等信息免费任意看（1分钱都不给） http://wooyun.org/bugs/wooyun-2010-0108184

9 业务接口调用

 重放攻击

  在短信、邮件调用业务或生成业务数据环节中 （类：短信验证码，邮件验证码，订单生成，评论提交等）， 对其业务环节进行调用（重放）测试。 如果业务经过调用（重放）后被多次生成有效的业务或数据结果

  一亩田交易网逻辑漏洞（木桶原理） http://www.wooyun.org/bugs/wooyun-2015-094545

 内容编辑

10 时效性绕过

 时间刷新缺陷

 12306网站的买票业务是每隔5s，票会刷新一次。但是这个时间确实在本地设置的间隔。 于是，在控制台就可以将这个时间的关联变量重新设置成1s或者更小， 这样刷新的时间就会大幅度缩短（主要更改autoSearchTime本地参数）。

  12306自动刷票时间可更改漏洞 http://www.wooyun.org/bugs/wooyun-2014-048391

 时间范围测试

 针对某些带有时间限制的业务，修改其时间限制范围， 1、例如在某项时间限制范围内查询的业务，修改含有时间明文字段的请求并提交， 查看能否绕过时间限制完成业务流程。 2、例如通过更改查询手机网厅的受理记录的month范围，可以突破默认只能查询六个月的记录。

思维导图：