`
MyEyeOfJava
  • 浏览: 1151879 次
  • 性别: Icon_minigender_1
  • 来自: 北京
博客专栏
7af2d6ca-4fe1-3e9a-be85-3f65f7120bd0
测试开发
浏览量:71167
533896eb-dd7b-3cde-b4d3-cc1ce02c1c14
晨记
浏览量:0
社区版块
存档分类
最新评论

业务安全漏洞挖掘归纳总结

阅读更多

0x00 索引说明


6.30在OWASP的分享,关于业务安全的漏洞检测模型。进一步的延伸科普。

enter image description here

enter image description here

0x01 身份认证安全


1 暴力破解

在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839

一些工具及脚本

Burpsuite

htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan

hydra 源码安装xhydra支持更多的协议去爆破 (可破WEB,其他协议不属于业务安全的范畴)

2 session & cookie类

会话固定攻击:利用服务器的session不变机制,借他人之手获得认证和授权,冒充他人。案例:WooYun: 新浪广东美食后台验证逻辑漏洞,直接登录后台,566764名用户资料暴露!

Cookie仿冒:修改cookie中的某个参数可以登录其他用户。 案例:益云广告平台任意帐号登录WooYun: 益云广告平台任意帐号登录

3 弱加密

未使用https,是功能测试点,不好利用。

前端加密,用密文去后台校验,并利用smart decode可解

0x02 业务一致性安全


1 手机号篡改

a) 抓包修改手机号码参数为其他号码尝试,例如在办理查询页面,输入自己的号码然后抓包,修改手机号码参数为其他人号码,查看是否能查询其他人的业务。

2 邮箱或者用户篡改

a) 抓包修改用户或者邮箱参数为其他用户或者邮箱

b) 案例: WooYun: 绿盟RSAS安全系统全版本通杀权限管理员绕过漏洞,包括最新 RSAS V5.0.13.2

3 订单id篡改

a) 查看自己的订单id,然后修改id(加减一)查看是否能查看其它订单信息。

b) 案例: WooYun: 广之旅旅行社任意访问用户订单

4 商品编号篡改

a) 例如积分兑换处,100个积分只能换商品编号为001,1000个积分只能换商品编号005,在100积分换商品的时候抓包把换商品的编号修改为005,用低积分换区高积分商品。

b) 案例:联想某积分商城支付漏洞再绕过 WooYun: 联想某积分商城支付漏洞再绕过

5 用户id篡改

a) 抓包查看自己的用户id,然后修改id(加减1)查看是否能查看其它用户id信息。

b) 案例: WooYun: 拉勾网百万简历泄漏风险(包括手机、邮件、应聘职位等信息、还可冒充企业身份筛选简历、发面试通知等)

0x03 业务数据篡改


1 金额数据篡改

a) 抓包修改金额等字段,例如在支付页面抓取请求中商品的金额字段,修改成任意数额的金额并提交,查看能否以修改后的金额数据完成业务流程。 b) 案例: WooYun: 12308订单支付时的总价未验证漏洞(支付逻辑漏洞)

2 商品数量篡改

a) 抓包修改商品数量等字段,将请求中的商品数量修改成任意数额,如负数并提交,查看能否以修改后的数量完成业务流程。 b) 案例: WooYun: 蔚蓝团支付逻辑漏洞(可负数支付)

3 最大数限制突破

a) 很多商品限制用户购买数量时,服务器仅在页面通过js脚本限制,未在服务器端校验用户提交的数量,通过抓包修改商品最大数限制,将请求中的商品数量改为大于最大数限制的值,查看能否以修改后的数量完成业务流程。

4 本地js参数修改

a) 部分应用程序通过Javascript处理用户提交的请求,通过修改Javascript脚本,测试修改后的数据是否影响到用户。

0x04 用户输入合规性


1 注入测试 请参考http://wiki.wooyun.org/web:sql

2 XSS测试 请参考http://wiki.wooyun.org/web:xss

3 Fuzz

a) 功能测试用的多一些,有可能一个超长特殊字符串导致系统拒绝服务或者功能缺失。(当然fuzz不单单这点用途。)

b) 不太符合的案例,但思路可借鉴: WooYun: 建站之星模糊测试实战之任意文件上传漏洞

c) 可能会用的工具 —— spike

4 其他用用户输入交互的应用漏洞

0x05 密码找回漏洞


1 大力推荐BMa的《密码找回逻辑漏洞总结》

http://drops.wooyun.org/web/5048

a) 密码找回逻辑测试一般流程

i. 首先尝试正常密码找回流程,选择不同找回方式,记录所有数据包

ii. 分析数据包,找到敏感部分

iii. 分析后台找回机制所采用的验证手段

iv. 修改数据包验证推测

b) 脑图 (详情请参考BMa的《密码找回逻辑漏洞总结》)

enter image description here

0x06 验证码突破


验证码不单单在登录、找密码应用,提交敏感数据的地方也有类似应用,故单独分类,并进一步详情说明。

1 验证码暴力破解测试

a) 使用burp对特定的验证码进行暴力破解

b) 案例: WooYun: 盟友88电商平台任意用户注册与任意用户密码重置漏洞打包

2 验证码时间、次数测试

a) 抓取携带验证码的数据包不断重复提交,例如:在投诉建议处输入要投诉的内容信息,及验证码参数,此时抓包重复提交数据包,查看历史投诉中是否存在重复提交的参数信息。

b) 案例:

3 验证码客户端回显测试

a 当客户端有需要和服务器进行交互,发送验证码时,即可使用firefox按F12调出firebug就可看到客户端与服务器进行交互的详细信息

4 验证码绕过测试

a) 当第一步向第二步跳转时,抓取数据包,对验证码进行篡改清空测试,验证该步骤验证码是否可以绕过。

b) 案例: WooYun: 中国电信某IDC机房信息安全管理系统设计缺陷致使系统沦陷

5 验证码js绕过

a) 短信验证码验证程序逻辑存在缺陷,业务流程的第一步、第二部、第三步都是放在同一个页面里,验证第一步验证码是通过js来判断的,可以修改验证码在没有获取验证码的情况下可以填写实名信息,并且提交成功。

0x07 业务授权安全


1 未授权访问

a) 非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访问到的页面或文本信息。可以尝试在登录某网站前台或后台之后,将相关的页面链接复制于其他浏览器或其他电脑上进行访问,看是否能访问成功。

2 越权访问

越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定

a) 垂直越权(垂直越权是指使用权限低的用户可以访问权限较高的用户)

b) 水平越权(水平越权是指相同权限的不同用户可以互相访问)(wooyun-2010-0100991 PHPEMS多处存在水平权限问题)

c) 《我的越权之道》URL:http://drops.wooyun.org/tips/727

0x08 业务流程乱序


1 顺序执行缺陷

a) 部分网站逻辑可能是先A过程后B过程然后C过程最后D过程

b) 用户控制着他们给应用程序发送的每一个请求,因此能够按照任何顺序进行访问。于是,用户就从B直接进入了D过程,就绕过了C。如果C是支付过程,那么用户就绕过了支付过程而买到了一件商品。如果C是验证过程,就会绕过验证直接进入网站程序了。

c) 案例:

WooYun: 万达某分站逻辑错误可绕过支付直接获得取票密码

http://wooyun.org/bugs/wooyun-2010-0108184

0x09 业务接口调用安全


1 重放攻击

在短信、邮件调用业务或生成业务数据环节中(类:短信验证码,邮件验证码,订单生成,评论提交等),对其业务环节进行调用(重放)测试。如果业务经过调用(重放)后被多次生成有效的业务或数据结果

a) 恶意注册

b) 短信炸111弹

在测试的过程中,我们发现众多的金融交易平台仅在前端通过JS校验时间来控制短信发送按钮,但后台并未对发送做任何限制,导致可通过重放包的方式大量发送恶意短信

案例: WooYun: 一亩田交易网逻辑漏洞(木桶原理)

2 内容编辑

类似案例如下:

点击“获取短信验证码”,并抓取数据包内容,如下图。通过分析数据包,可以发现参数sendData/insrotxt的内容有客户端控制,可以修改为攻击者想要发送的内容

enter image description here

将内容修改“恭喜你获得由xx银行所提供的iphone6一部,请登录http://www.xxx.com领取,验证码为236694”并发送该数据包,手机可收到修改后的短信内容,如下图:

enter image description here

0x10 时效绕过测试


大多有利用的案例发生在验证码以及业务数据的时效范围上,在之前的总结也有人将12306的作为典型,故,单独分类。

1 时间刷新缺陷

12306网站的买票业务是每隔5s,票会刷新一次。但是这个时间确实在本地设置的间隔。于是,在控制台就可以将这个时间的关联变量重新设置成1s或者更小,这样刷新的时间就会大幅度缩短(主要更改autoSearchTime本地参数)。 案例:

WooYun: 12306自动刷票时间可更改漏洞

2 时间范围测试

针对某些带有时间限制的业务,修改其时间限制范围,例如在某项时间限制范围内查询的业务,修改含有时间明文字段的请求并提交,查看能否绕过时间限制完成业务流程。例如通过更改查询手机网厅的受理记录的month范围,可以突破默认只能查询六个月的记录。

0x11 参考


@eversec

应用程序逻辑错误总结 http://drops.wooyun.org/papers/1418

密码找回功能可能存在的问题 http://drops.wooyun.org/papers/287

密码找回功能可能存在的问题(补充) http://drops.wooyun.org/web/3295

密码找回逻辑漏洞总结 http://drops.wooyun.org/web/5048

支付漏洞的三种常见类型——加固方案 http://zone.wooyun.org/content/878

在线支付逻辑漏洞总结 http://drops.wooyun.org/papers/345

金融行业平台常见安全漏洞与防御 http://www.freebuf.com/news/special/61082.html

我的越权之道 http://drops.wooyun.org/tips/727

安全科普:看视频理解Web应用安全漏洞TOP10(IBM内部视频) http://www.freebuf.com/vuls/63426.html

 

分享到:
评论

相关推荐

    【推荐】网络安全中的漏洞挖掘实践合集.zip

    推荐,网络安全中的漏洞挖掘实践合集,仅供大家学习参阅,包含内容如下: 针对现实应用的文本对抗攻击研究 安全众测下的漏洞发展新趋势 安卓应用漏洞挖掘 从0到1-发现与拓展攻击面 对基于Git的版本控制...

    SRC漏洞挖掘实战经验总结

    在网络安全领域,SRC(Security Response Center)漏洞挖掘是至关重要的工作,它涉及到对软件系统进行深入分析,找出可能存在的安全漏洞,并及时修复,以保护用户数据的安全。本篇文章将基于"SRC漏洞挖掘实战经验...

    基于数据挖掘的智能电网安全漏洞挖掘模型.pdf

    接着,利用这些参数构建关联规则,然后将漏洞辨识矩阵与数据关联规则相结合,最终构建出智能电网安全漏洞挖掘模型,并完成漏洞的挖掘。 文档中提到的关联规则是一种用于发现数据中变量间关系的模式,它可以帮助识别...

    国内SRC漏洞挖掘经验和技巧分享.pdf

    白帽子是指那些致力于网络安全研究和漏洞挖掘的个人或团队。SRC个人推荐包括: 1. 合规手段:SRC个人推荐中,合规手段是非常重要的,包括使用合法的手段来获取信息,而不是使用非法的手段来获取信息。 2. 点到为止...

    红蓝对抗中的云原生漏洞挖掘及利用实录.pdf

    攻击者需要挖掘出云计算环境中的安全漏洞,然后利用这些漏洞达到侵入系统、获取敏感信息或破坏系统正常运行的目的。在这份文档中,提到了使用远控木马获取集群管理员PC上的kubeconfig文件,这一步骤能够让攻击者获得...

    国内SRC漏洞挖掘技巧与经验分享

    总结来说,国内SRC漏洞挖掘需要结合技术分析与经验积累,通过多方面信息收集、深度漏洞分析、代码审计、Web应用漏洞挖掘、安全配置检查、社会工程学以及持续学习,才能在这一领域取得显著成效。希望这份经验分享能对...

    Android安全漏洞挖掘技术综述.pdf

    "Android安全漏洞挖掘技术综述" Android 安全漏洞挖掘技术是 Android 应用开发过程中不可或缺的一部分。随着 Android 设备和应用的普及, Android 安全漏洞挖掘技术变得越来越重要。在 Android 应用开发中,安全...

    软件安全漏洞挖掘的研究思路及发展趋势

    软件安全漏洞挖掘是信息技术领域的重要分支,涉及多个层面的技术和方法。首先,漏洞挖掘的目的是发现软件中潜在的安全漏洞,以便提前采取措施,防止潜在的安全风险。随着信息技术的发展,软件系统日益复杂,安全漏洞...

    web漏洞挖掘快速入门1

    3. 通过 zmpap 全网爆破查询真实 ip(可靠) 4. 子域名爆破,现在越来越不靠谱了 5. 通过扫描出网站测试文件如 phpinfo,test 等配置文

    藏经阁-典型业务逻辑漏洞挖掘.pdf

    藏经阁-典型业务逻辑漏洞挖掘 在本篇文章中,我们将探讨典型业务逻辑漏洞挖掘的技术和方法,并通过实例讲解业务逻辑漏洞的类型和特点。 一、业务逻辑漏洞的定义 业务逻辑漏洞是指在软件系统中,因为业务逻辑的不...

    Android平台下软件安全漏洞挖掘方法研究.pdf

    "Android平台下软件安全漏洞挖掘方法研究" Android 平台下的软件安全漏洞挖掘方法研究是当前移动互联网时代的热门话题。随着 Android 系统的普及,Android 应用程序的安全问题日益严重。为了减少 Android 系统用户...

    从补天漏洞挖掘思考企业安全

    在这里,安全研究人员、漏洞挖掘爱好者以及企业安全人员聚集在一起,交流关于如何入门漏洞挖掘的经验,以及如何利用漏洞挖掘技术提升企业安全防护能力。补天技术沙龙的活动不仅包括演讲,还可能包括工作坊、培训课程...

    web安全漏洞挖掘梳理

    Web 安全漏洞挖掘梳理 - XXE 漏洞梳理 Web 安全漏洞挖掘梳理是指在 Web 应用程序中发现和利用安全漏洞的过程。其中,XXE 漏洞是一种常见的安全漏洞,攻击者可以通过构建外部实体注入来攻击 Web 应用程序。 1.什么...

    web安全&漏洞挖掘.zip(中文)

    在“Web安全&漏洞挖掘.zip”这个压缩包中,我们可以找到一系列关于网络安全、特别是Web安全领域的资源,包括漏洞挖掘的思想、Web应用的业务与逻辑缺陷分析、模糊测试的方法以及Web安全的基础知识。以下是对这些主题...

    125-业务逻辑漏洞挖掘.pdf

    125-业务逻辑漏洞挖掘

    PHP漏洞挖掘

    在《PHP漏洞挖掘》这篇文档中,作者通过20种不同的方法介绍了如何对PHP源代码进行模糊测试(Fuzzing),以便发现潜在的安全漏洞。该文档的目标读者是具备一定PHP编程经验的专业人士。文章主要分为两部分:快速审计...

    基于深度学习的软件安全漏洞挖掘.docx

    ### 基于深度学习的软件安全漏洞挖掘 #### 一、引言 随着信息技术的飞速发展,软件系统已成为现代社会不可或缺的一部分。然而,软件系统的复杂性不断增加的同时,潜在的安全漏洞也越来越多,这对软件安全构成了...

    一种基于模糊测试的车载ECU漏洞挖掘方法

    本文提出的基于模糊测试的车载ECU漏洞挖掘方法,可以有效地检测车载ECU的安全漏洞,并且具有实时性和可靠性。该方法可以应用于车联网安全检测和维护,提高车联网的安全性和可靠性。 知识点: 1. 模糊测试是一种...

Global site tag (gtag.js) - Google Analytics