业务安全漏洞挖掘要点

业务安全漏洞挖掘要点

1 身份认证安全

暴力破解

用暴力穷举的方式大量尝试性地猜破密码。 一般包括字典攻击和暴力穷举。

示例

360云盘分享码可以被暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0121646

淘米网登陆不需验证码导致暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0145757

防御方法:

验证码机制,一次请求一次验证码

登录失败处理功能,登录次数限制,锁定功能

二次认证机制

工具:

BurpSuite工具

撞库

示例

百合网暴力破解用户名密码成功率极高 http://www.wooyun.org/bugs/wooyun-2010-091527

华为云服务可以暴力破解和撞库 http://www.wooyun.org/bugs/wooyun-2014-078348

工具:

htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan

撞库攻击防御方式

统一所有登录接口,废弃每个应用单独的登录入口

子主题

弱加密机制

示例:

某在线培训系统Base64编码后通用SQL盲注漏洞 http://www.wooyun.org/bugs/wooyun-2015-0120906

采用md5,base64等密码编码技术

防御方式

未采用hash+salt的方式进行加密

2 业务性一致性安全

业务一致性主要避免用户垂直、平行和任意信息获取。

手机号篡改

通过抓包修改手机号码参数为其他号码尝试获取信息

例如在办理查询页面,输入自己的号码然后抓包, 修改手机号码参数为其他人号码,查看是否能查询其他人的业务。

示例:

国美某分站绑定手机号码任意重置可修改交易密码 http://www.wooyun.org/bugs/wooyun-2010-0166377

邮箱或者用户篡改

抓包修改用户或者邮箱参数为其他用户或者邮箱

示例

绿盟RSAS安全系统全版本通杀权限管理员绕过漏洞,包括最新 RSAS V5.0.13.2 http://www.wooyun.org/bugs/wooyun-2014-074441

订单id篡改

查看自己的订单id,然后修改id(加减一)查看是否能查看其它订单信息。

示例

广之旅旅行社任意访问用户订单 http://www.wooyun.org/bugs/wooyun-2013-044137

商品编号篡改

例如积分兑换处,100个积分只能换商品编号为001, 1000个积分只能换商品编号005, 在100积分换商品的时候抓包把换商品的编号修改为005, 用低积分换区高积分商品。

示例

联想某积分商城支付漏洞再绕过 http://www.wooyun.org/bugs/wooyun-2013-041617

联想积分商城逻辑锉刀导致支付漏洞 http://www.wooyun.org/bugs/wooyun-2013-037058

用户id篡改

抓包查看自己的用户id,然后修改id(加减1)查看是否能查看其它用户id信息。

示例:

拉勾网百万简历泄漏风险 http://www.wooyun.org/bugs/wooyun-2015-0111617

3 业务数据篡改

金额数据篡改

抓包修改金额等字段,例如在支付页面抓取请求中商品的金额字段, 修改成任意数额的金额并提交,查看能否以修改后的金额数据完成业务流程。

示例

12308订单支付时的总价未验证漏洞(支付逻辑漏洞) http://www.wooyun.org/bugs/wooyun-2015-0117083

destoon无限制增加帐号资金 http://www.wooyun.org/bugs/wooyun-2014-050481

商品数量篡改

抓包修改商品数量等字段,将请求中的商品数量修改成任意数额, 如负数并提交,查看能否以修改后的数量完成业务流程。

示例

蔚蓝团支付逻辑漏洞(可负数支付) http://www.wooyun.org/bugs/wooyun-2015-0109037

最大数限制突破

很多商品限制用户购买数量时,服务器仅在页面通过js脚本限制,未在服务器端校验用户提交的数量, 通过抓包修改商品最大数限制,将请求中的商品数量改为大于最大数限制的值, 查看能否以修改后的数量完成业务流程。

本地js参数修改

部分应用程序通过Javascript处理用户提交的请求, 通过修改Javascript脚本,测试修改后的数据是否影响到用户。

4 用户输入合规性

注入测试

xss跨站脚本

Fuzz测试

功能测试用的多一些,有可能一个超长特殊字符串导致系统拒绝服务或者功能缺失。

可能会用的工具 —— spike

其他用用户输入交互的应用漏洞

5 密码找回漏洞

密码找回功能本意是设计给那些忘记密码的用户,以便他们能够找回自己的密码。

示例:

百合网修改任意妹子账号密码漏洞 http://www.wooyun.org/bugs/wooyun-2012-014594

密码找回漏洞总结

http://drops.wooyun.org/web/5048

流程:

i.首先尝试正常密码找回流程,选择不同找回方式,记录所有数据包

ii. 分析数据包,找到敏感部分

iii.分析后台找回机制所采用的验证手段

iv. 修改数据包验证推测

6 验证码突破

验证码不单单在登录、找密码应用,提交敏感数据的地方也有类似应用

验证码暴力破解测试

使用burp对特定的验证码进行暴力破解

盟友88电商平台任意用户注册与任意用户密码重置漏洞打包 http://www.wooyun.org/bugs/wooyun-2015-093932

验证码时间、次数测试

抓取携带验证码的数据包不断重复提交。

例如:在投诉建议处输入要投诉的内容信息,及验证码参数, 时抓包重复提交数据包,查看历史投诉中是否存在重复提交的参数信息。

验证码客户端回显测试

当客户端有需要和服务器进行交互,发送验证码时, 即可使用firefox按F12调出firebug就可看到客户端与服务器进行交互的详细信息

验证码绕过测试

当第一步向第二步跳转时,抓取数据包, 证码进行篡改清空测试,验证该步骤验证码是否可以绕过。

示例

中国电信某IDC机房信息安全管理系统设计缺陷致使系统沦陷 http://www.wooyun.org/bugs/wooyun-2015-098765

验证码js绕过

短信验证码验证程序逻辑存在缺陷, 业务流程的第一步、第二部、第三步都是放在同一个页面里, 验证第一步验证码是通过js来判断的, 可以修改验证码在没有获取验证码的情况下可以填写实名信息,并且提交成功。

7 业务授权安全

未授权访问

非授权访问是指用户在没有通过认证授权的情况下能够直接访问 需要通过认证才能访问到的页面或文本信息。 可以尝试在登录某网站前台或后台之后,将相关的页面链接复制 于其他浏览器或其他电脑上进行访问,看是否能访问成功。

越权访问

越权漏洞的成因主要是因为开发人员在对数据进行增、删、 改、查询时对客户端请求的数据过分相信而遗漏了权限的判定

垂直越权(垂直越权是指使用权限低的用户可以访问权限较高的用户)

水平越权(水平越权是指相同权限的不同用户可以互相访问)

《我的越权之道》URL:http://drops.wooyun.org/tips/727

示例

广州地铁某系统越权访问漏洞可导致内部人员信息泄露 http://www.wooyun.org/bugs/wooyun-2010-0157827

红塔证券从log日志越权访问到OA沦陷(众多信息沦陷) http://www.wooyun.org/bugs/wooyun-2015-0161316

8 业务流程乱序

顺序执行缺陷

1、部分网站逻辑可能是先A过程后B过程然后C过程最后D过程 2、用户控制着他们给应用程序发送的每一个请求,因此能够按照任何顺序进行访问。 于是,用户就从B直接进入了D过程,就绕过了C。如果C是支付过程, 那么用户就绕过了支付过程而买到了一件商品。如果C是验证过程,就会绕过验证直接进入网站程序了。

示例

淘美网逻辑漏洞美女QQ、手机号等信息免费任意看(1分钱都不给) http://wooyun.org/bugs/wooyun-2010-0108184

9 业务接口调用

重放攻击

在短信、邮件调用业务或生成业务数据环节中 (类:短信验证码,邮件验证码,订单生成,评论提交等), 对其业务环节进行调用(重放)测试。 如果业务经过调用(重放)后被多次生成有效的业务或数据结果

一亩田交易网逻辑漏洞(木桶原理) http://www.wooyun.org/bugs/wooyun-2015-094545

内容编辑

10 时效性绕过

时间刷新缺陷

12306网站的买票业务是每隔5s,票会刷新一次。但是这个时间确实在本地设置的间隔。 于是,在控制台就可以将这个时间的关联变量重新设置成1s或者更小, 这样刷新的时间就会大幅度缩短(主要更改autoSearchTime本地参数)。

12306自动刷票时间可更改漏洞 http://www.wooyun.org/bugs/wooyun-2014-048391

时间范围测试

针对某些带有时间限制的业务,修改其时间限制范围, 1、例如在某项时间限制范围内查询的业务,修改含有时间明文字段的请求并提交, 查看能否绕过时间限制完成业务流程。 2、例如通过更改查询手机网厅的受理记录的month范围,可以突破默认只能查询六个月的记录。

思维导图:

时间: 2024-11-09 02:53:21

业务安全漏洞挖掘要点的相关文章

业务逻辑漏洞挖掘随笔【身份认证篇】

在厂家的时候出来跟客户聊安全,老是喜欢把漏洞分为"传统漏洞"."业务逻辑漏洞".现在听到这词还蛮新鲜的.最近要让学弟们去帮忙挖漏洞,结合自己的测试经验顺便给他们归纳了下业务逻辑挖掘,于是有了本文.... 纯科普,大牛请无视 暴力破解: 实习的时候帮客户检查系统,当实在没找到漏洞的时候最爱挑这个毛病,"该系统可被暴力破解".因为内网中这问题比比皆是,暴力破解确实是个敲门砖. 01:没有验证码 可选工具:burpsuite 当然了,也可以选择同时爆破

业务安全漏洞挖掘归纳总结【转载】

0x00 索引说明 6.30在OWASP的分享,关于业务安全的漏洞检测模型.进一步的延伸科普. 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解. 简单的验证码爆破.URL: http://zone.wooyun.org/content/20839 一些工具及脚本 Burpsuite htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpw

业务逻辑漏洞挖掘随笔【信息一致性安全篇】

继续~ 1 手机号篡改 场景一:抓包修改手机号码参数为其他号码尝试,例如在办理查询页面,输入自己的号码然后抓包,修改手机号码参数为其他人号码,查看是否能查询其他人的业务. 场景二:在测试一个业务的时,第一步输入别人的邮箱验证该邮箱是否存在.第二步输入手机号的时候随便填一个手机号,抓包修改成自己的.结果短信验证码就发到自己的手机上了. 2 邮箱或者用户篡改 场景一:抓包修改用户或者邮箱参数为其他用户或者邮箱,类似上文说的手机号篡改. 3 订单id,编号等篡改 场景一:查看自己的订单id,然后修改i

《梦幻模拟战》漏洞挖掘全过程

WeTest 导读 漏洞和外挂一直是危害游戏的罪魁祸首,在游戏行业发展的历程中,不乏一些经典热门的游戏在安全事故中失去江湖地位.不重视游戏安全的结果,不仅让制作人员的心血毁于一旦,更痛失万千玩家的热爱.在如今手游盛行的时代,如何正视手游安全,最大化的减少安全事故的发生概率,请跟随本文一起探索. 梦幻之源-<梦幻模拟战>手游的前世今生 <梦幻模拟战>系列作为经典的日式战棋游戏,自1991年初代作品发布至今在老一辈中国玩家心中有着极高的地位.2018年初紫龙游戏正式推出日式王道幻想大作

SRC漏洞挖掘

SRC目标搜集 首先得知道SRC厂商的关键字,利用脚本搜集一波. 比如[应急响应中心]就可以作为一个关键字.通过搜索引擎搜索一波,去重,入库. # -*- coding:utf-8 -*- ''' 从百度把前10页的搜索到的url爬取保存 ''' import multiprocessing # 利用pool进程池实现多进程并行 # from threading import Thread 多线程 import time from bs4 import BeautifulSoup # 处理抓到的

AndroidNative层文件解析漏洞挖掘指南

| 导语 本文以手Q的一次文件解析类漏洞挖掘为例,叙述了Android Native层文件解析类型漏洞挖掘的过程 手Q这个应用从功能来说十分的庞大,如果使用类似MFFA的框架去挖掘文件解析类漏洞,效率低,而且文件入口在哪儿.如何利用脚本进行自动化都是非常大的问题.本文在一次手Q的文件解析类漏洞挖掘的过程中,提出了一种可能的解决问题的方案,妄称指南不吝赐教. 目录: 1.问题分析 2.流程图 3.so筛选 4.测试程序编写 5.test case生成 6.测试得出crash 7.未来的工作 0x0

小白日记37:kali渗透测试之Web渗透-手动漏洞挖掘(三)-目录遍历、文件包含

手动漏洞挖掘 漏洞类型 #Directory traversal 目录遍历[本台机器操作系统上文件进行读取] 使用者可以通过浏览器/URL地址或者参数变量内容,可以读取web根目录[默认为:/var/www/]之外的其他操作系统文件(如:/etc/passwd/).形成根源:目录权限限制不严格 #File include文件包含[1.include本地文件包含LFI:2.远程系统文件包含RFI(可传入木马)] 通常为如include函数,可以将web根目录以外的目录包含进来.根源:include

【安全牛学习笔记】漏洞挖掘

漏洞本质   数据与指令的混淆   对用户输入信息过滤不严,误将指令当做数据 漏洞挖掘原则 所有变量 所有头 cookie中的变量 逐个变量删除筛选 身份认证 弱口令/基于字典的爆破 密码嗅探 sessionID xss 嗅探sessionID长期不变 通过算法预测sessionID phpmyadmin远程命令执行低版本的php存在此漏洞 利用代码 POSThttp://1.1.1.1/phpMyAdmin/?-d+allow_url_include%3d1+-d +auto_prepend_

漏洞挖掘经验分享

我平时挖洞的经验,我总结了一下,大概有以下几点: 1.收集信息,尽可能的越多越好(主域名.IP段.搜索引擎.GitHub等). 2.收集好信息后,对收集的信息进行一些扩展,增加信息收集的量(可以用SubDomain工具批量收集厂商域名信息,域名对应IP,数据多了之后,就可以拿来分析域名的真实地址.以及潜在的IP段). 3.对IP段.子域名等进行大量破解,这里我们要经常收集一些SRC开发常用的端口.以及一些域名的命名习惯(GitHub上面有很多现成的端口,平时收集信息的时候,可以多注意一下). 4