其他分享
首页 > 其他分享> > 业务安全漏洞挖掘归纳总结

业务安全漏洞挖掘归纳总结

作者:互联网

身份认证安全

1.暴力破解

在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839

一些工具及脚本描述
Burpsuite
htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan
hydra 源码安装xhydra支持更多的协议去爆破 (可破WEB,其他协议不属于业务安全的范畴)
2.session & cookie类

会话固定攻击:利用服务器的session不变机制,借他人之手获得认证和授权,冒充他人。案例:WooYun: 新浪广东美食后台验证逻辑漏洞,直接登录后台,566764名用户资料暴露!
Cookie仿冒:修改cookie中的某个参数可以登录其他用户。 案例:益云广告平台任意帐号登录WooYun: 益云广告平台任意帐号登录

3.弱加密

未使用https,是功能测试点,不好利用。
前端加密,用密文去后台校验,并利用smart decode可解


业务一致性安全

1.手机号篡改
2.邮箱或者用户篡改
3.订单id篡改
4.商品编号篡改
5.用户id篡改

业务数据篡改

1.金额数据篡改
2.商品数量篡改
3.最大数限制突破
4.本地js参数修改

用户输入合规性

1.注入测试 请参考http://wiki.wooyun.org/web:sql
2.XSS测试 请参考http://wiki.wooyun.org/web:xss
3.Fuzz
4.其他用用户输入交互的应用漏洞

密码找回漏洞

1.大力推荐BMa的《密码找回逻辑漏洞总结》http://drops.wooyun.org/web/5048

密码找回逻辑测试一般流程

  1. 首先尝试正常密码找回流程,选择不同找回方式,记录所有数据包
  2. 分析数据包,找到敏感部分
  3. 分析后台找回机制所采用的验证手段
  4. 修改数据包验证推测
脑图 (详情请参考BMa的《密码找回逻辑漏洞总结》)

验证码突破

验证码不单单在登录、找密码应用,提交敏感数据的地方也有类似应用,故单独分类,并进一步详情说明。

1.验证码暴力破解测试
2.验证码时间、次数测试
3.验证码客户端回显测试
4.验证码绕过测试
5.验证码js绕过

业务授权安全

1.未授权访问
2.越权访问

越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定


业务流程乱序

1.顺序执行缺陷

业务接口调用安全

1.重放攻击

在短信、邮件调用业务或生成业务数据环节中(类:短信验证码,邮件验证码,订单生成,评论提交等),对其业务环节进行调用(重放)测试。如果业务经过调用(重放)后被多次生成有效的业务或数据结果

在测试的过程中,我们发现众多的金融交易平台仅在前端通过JS校验时间来控制短信发送按钮,但后台并未对发送做任何限制,导致可通过重放包的方式大量发送恶意短信
案例: WooYun: 一亩田交易网逻辑漏洞(木桶原理)

2.内容编辑

类似案例如下:
点击“获取短信验证码”,并抓取数据包内容,如下图。通过分析数据包,可以发现参数sendData/insrotxt的内容有客户端控制,可以修改为攻击者想要发送的内容
将内容修改“恭喜你获得由xx银行所提供的iphone6一部,请登录http://www.xxx.com领取,验证码为236694”并发送该数据包,手机可收到修改后的短信内容,如下图:


时效绕过测试

大多有利用的案例发生在验证码以及业务数据的时效范围上,在之前的总结也有人将12306的作为典型,故,单独分类。

1.时间刷新缺陷

12306网站的买票业务是每隔5s,票会刷新一次。但是这个时间确实在本地设置的间隔。于是,在控制台就可以将这个时间的关联变量重新设置成1s或者更小,这样刷新的时间就会大幅度缩短(主要更改autoSearchTime本地参数)。 案例:
WooYun: 12306自动刷票时间可更改漏洞

2.时间范围测试

针对某些带有时间限制的业务,修改其时间限制范围,例如在某项时间限制范围内查询的业务,修改含有时间明文字段的请求并提交,查看能否绕过时间限制完成业务流程。例如通过更改查询手机网厅的受理记录的month范围,可以突破默认只能查询六个月的记录。


安全科普:看视频理解Web应用安全漏洞TOP10(IBM内部视频) http://www.freebuf.com/vuls/63426.html



作者:醉里挑灯看剑422
链接:https://www.jianshu.com/p/369027c58d68
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

标签:修改,WooYun,归纳,验证码,案例,用户,挖掘,安全漏洞,漏洞
来源: https://www.cnblogs.com/wjw-zm/p/11831310.html