业务逻辑漏洞挖掘随笔【身份认证篇】

在厂家的时候出来跟客户聊安全,老是喜欢把漏洞分为“传统漏洞”、“业务逻辑漏洞”。现在听到这词还蛮新鲜的。最近要让学弟们去帮忙挖漏洞,结合自己的测试经验顺便给他们归纳了下业务逻辑挖掘,于是有了本文....

纯科普,大牛请无视

暴力破解:

实习的时候帮客户检查系统,当实在没找到漏洞的时候最爱挑这个毛病,“该系统可被暴力破解”。因为内网中这问题比比皆是,暴力破解确实是个敲门砖。

  01:没有验证码

    

    可选工具:burpsuite

当然了,也可以选择同时爆破多个参数

02:形同虚设的验证码

  另一种情况是有验证码,但是验证码却可以被重复利用。最简单的判断就是重复刷新页面,你会发现验证码没有改变。这类的目标你可以尝试下爆破。

   还曾经见过内网中的一套系统,有验证码,但是在抓包后,把验证码删掉。即使在没有验证码的情况下也能提交成功。

session & cookie类

  会话固定攻击:利用服务器的session不变机制,借他人之手获得认证和授权,冒充他人。

  场景一:某系统认证登录后,session存在于url中。我们通过伪造一个session+url的链接。发给对方,对方通过这个链接登录后。测试者本地即可直接利用该session。

  场景二:在CTF比赛中和早期一些低级的留言系统可以碰到。用户是否具备访问权限,仅仅通过cookie中的参数来判断。此时,uid=admin,即可赋予admin的权限。(不要觉得傻逼,还真有==)

      

 都是JS惹的祸:

  场景一:给客户做安全培训的时候必讲的一个题。可以理解成越权访问。在未登陆的情况下直接访问某些管理员页面,会提示”未登陆,请重新登陆“然后跳转到登陆页面。这时候只要将浏览器的js禁用即可。这个问题在某国企多年内网漏洞挖掘中也发现多次。

  场景二:在给某客户做安全评估,一套图书馆系统。都快睡着了。开着burpsuite一边抓包一边浏(踩)览(点)页面。在登录框输入一个存在的账号后发现有提交请求一次(看起来没毛病)。右键查看源码,问题来了。在密码框原来的 value=“” 居然变成了 value=“邪恶的密码”....。所以我已经猜到了这位开发同学的小九九。

时间: 2024-09-30 11:07:30

业务逻辑漏洞挖掘随笔【身份认证篇】的相关文章

业务逻辑漏洞挖掘随笔【信息一致性安全篇】

继续~ 1 手机号篡改 场景一:抓包修改手机号码参数为其他号码尝试,例如在办理查询页面,输入自己的号码然后抓包,修改手机号码参数为其他人号码,查看是否能查询其他人的业务. 场景二:在测试一个业务的时,第一步输入别人的邮箱验证该邮箱是否存在.第二步输入手机号的时候随便填一个手机号,抓包修改成自己的.结果短信验证码就发到自己的手机上了. 2 邮箱或者用户篡改 场景一:抓包修改用户或者邮箱参数为其他用户或者邮箱,类似上文说的手机号篡改. 3 订单id,编号等篡改 场景一:查看自己的订单id,然后修改i

业务安全漏洞挖掘要点

业务安全漏洞挖掘要点 1 身份认证安全 暴力破解 用暴力穷举的方式大量尝试性地猜破密码. 一般包括字典攻击和暴力穷举. 示例 360云盘分享码可以被暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0121646 淘米网登陆不需验证码导致暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0145757 防御方法: 验证码机制,一次请求一次验证码 登录失败处理功能,登录次数限制,锁定功能 二次认证机制 工具: BurpSu

实战经验丨业务逻辑漏洞探索之活动类漏洞

活动类的漏洞大家一定听说过,比如之前拼多多APP出现重大BUG,用户可以在任何没有限制的情况下无限领取100元无门槛优惠券.据不完全统计,一晚上的时间直接导致了拼多多200多亿的优惠券面额损失. 其实很多平台都会通过参与活动赢取奖励的方式来吸引用户,或是使用资金.虚拟货币.积分等进行交易,然而如果这些功能没有设计好,会很容易造成重大的经济损失,比如像上述的拼多多案例. 那么今天我们就来学习一下业务逻辑漏洞探索之活动类漏洞的相关内容,希望对大家有所帮助. 注:本文中提供的例子均来自网络已公开测试的

业务安全漏洞挖掘归纳总结【转载】

0x00 索引说明 6.30在OWASP的分享,关于业务安全的漏洞检测模型.进一步的延伸科普. 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解. 简单的验证码爆破.URL: http://zone.wooyun.org/content/20839 一些工具及脚本 Burpsuite htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpw

逻辑漏洞挖掘入门之 简单的任意账户密码重置

这类逻辑漏洞 就没有停的时候 在WAF越来越普及的时代,SQL注入,远程命令执行这类高危可操作漏洞将越来少,而逻辑漏洞则是目前WAF(很久之后的WAF或许也不能防御)的盲区.所以作为一名合格的黑客,学好逻辑漏洞的挖掘思路,是必须的.逻辑漏洞最常见也是最有效的无非就在于找回密码处,我们用蘑菇租房来给大家做演示(漏洞以反馈至漏洞银行,并已修复)http://www.mogoroom.com//index/gotoForgetPwdStep1Pages这是他的找回密码连接.因为要利用找回密码,首先要注

Web安全测试中常见逻辑漏洞解析(实战篇)

Web安全测试中常见逻辑漏洞解析(实战篇) 简要: 越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽,对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,导致用户A可以操作其他人的信息.? 逻辑漏洞挖掘一直是安全测试中"经久不衰"的话题.相比SQL注入.XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和

[典型漏洞分享]业务逻辑导致的隐私泄露1

业务逻辑漏洞是跟业务自身强相关的,必须结合业务本身进行分析. 视频广场存在业务逻辑等漏洞,可导致用户隐私泄漏[高] 问题描述:          经测试,视频广场存在如下漏洞: 1.  被进行好友分享的设备可以被好友进行广场分享,可导致用户隐私泄漏. 2.  发表评论和进行回复时未限制次数和频率,可利用进行恶意刷屏或灌水. 测试步骤:          问题1: 1.  将用户A的设备à设备A通过好友分享给用户B. 2.  登录用户B,可以得到设备A的序列号以及新的cameraID(通道号).

网络安全之身份认证

在网络环境下的信息世界,身份是区别于其他个体的一种标识.为了与其他个体有所区别,身份必须具有唯一性.当然,唯一性也是有范围的,如电话号码,在一个区域内是唯一的,如果考虑多个区域,可能会有相同的号码,但只要再添加区域号段,又能唯一区分开来.网络环境下的身份不仅仅用于标识一个人,也可以用于标识一个机器.一个物体,甚至一个虚拟的东西(如进程.会话过程等).因此,网络环境下的身份是只在一定范围内用于标识事.物.人的字符串.一.身份认证概述 网络环境下的认证不是对某个事物的资质审查,而是对事物真实性的确认

小白日记36:kali渗透测试之Web渗透-手动漏洞挖掘(二)-突破身份认证,操作系统任意命令执行漏洞

手动漏洞挖掘 ###################################################################################### 手动漏洞挖掘原则[会比自动扫描器发现的漏洞要多,要全面] 1.每一个变量都进行尝试 2.所有头[如:cookie中的变量] 3.逐个变量删除 #####################################################################################