逻辑漏洞与越权手记

打开这扇门你就会进入新的世界,但那样你就再也回不去了……你每做出一个新的选择,其他选项就消失了。自始至终,你都只有一条路走

最近在看逻辑漏洞与越权相关书籍,记录一些常用的方法,每次检测的时候按照不同业务类型一个一个的去测试。

业务处

注册

可能存在漏洞:

  1. 任意用户注册
  2. 短信轰炸/验证码安全问题/密码爆破
  3. 批量注册用户
  4. 枚举用户名/进行爆破
  5. SQL注入/存储型XSS

登陆

  1. 短信轰炸/验证码安全问题/密码爆破
  2. SQL注入
  3. 可被撞库
  4. 空密码绕过/抓包把password字段修改成空值发送
  5. 认证凭证替换/比如返回的数据包中包含账号,修改账号就能登陆其他账号
  6. 权限绕过/Cookie仿冒
  7. 第三方登陆,可以修改返回包的相关数据,可能会登陆到其他的用户

密码找回

  1. 短信邮箱轰炸/短信邮箱劫持
  2. 重置任意用户密码/验证码手机用户未统一验证
  3. 批量重置用户密码
  4. 新密码劫持/直接跳过验证步骤
  5. 本地验证,修改返回值

购买支付/充值

  1. 交易金额/数量修改,交易金额不一定非要0.01,有时候1.00也行
  2. 交易信息订单编码/导致信息泄露
  3. 整数溢出,int最大值为2147483647,超过最大值
  4. 修改充值账户
  5. 请求重放多次下单,高并发操作
  6. 如果返回当参数中有一些奇怪的参数,可以把这个而参数添加到请求包中然后重发

抽奖活动

  1. 抽奖作弊
  2. 刷奖品/积分
  3. 高并发点击,在签到,转账,兑换,购买业务可以试一试

优惠券/代金券

  1. 刷优惠券/代金券
  2. 修改优惠券金额/数量

运费

  1. 修改运费金额

订单信息

  1. 订单信息遍历/泄露
  2. 订单信息泄露导致用户信息泄露
  3. 删除他人订单

会员系统

  1. 修改个人信息上传文件,上传带弹窗的html
  2. 如遇上上传xlsx/docx,可能存在xxe,上传恶意的文档盲测
  3. 图片上传也可能遇到imagereagick命令执行,上传恶意图片
  4. 视频上传如果使用ffmpeg<3.2.4(视频按帧分割成图片),上传恶意avi盲测ssrf
  5. 用户横向越权访问/遍历/导致用户信息泄露
  6. SQL注入/个人简介处存储XSS

传输过程

  1. 明文传输账号密码
  2. 修改信息处无session/token导致csrf
  3. POST/COOKIE注入

评论

  1. POST注入/存储XSS
  2. 无session/token导致CSRF

漏洞处

验证码问题

  1. 万能验证码0000,8888,1234
  2. 返回包中存在验证码
  3. 删除验证码或者cookie中的值可以爆破账号密码

短信轰炸

  1. 重放数据包
  2. 删除修改cookie,或者检测数据包是否有相关参数,直接删除或者修改,然后重放数据包
  3. 手机号前面加 +86,或者手机号后面加空格之类的,然后重发数据包
  4. 请求参数修改大小写,或者添加请求参数比如&id=1
  5. 一个站的登陆处可能做了防护,但是再找回密码处可能没有安全防护,或者在注册流程中没有安全防护,所以说多测试接口
  6. 如果存在批量注册用户的话,每个用户可以发送短信5次,也能实现批量轰炸

水平越权

  1. 主要登陆后还是修改参数,主要找到多个接口不断测试
  2. 关注网页源代码,有时候会有表单,但是被bidden(隐藏标签)给隐藏起来了,可以修改返回包然后尝试获取数据检测
  3. 多个账号,主要分析请求参数

数据泄露

  1. 在找回密码处,填写数据后抓包查看返回信息,有可能存在敏感数据返回

任意用户密码重置

  1. 目前大部分都是在修改密码处参数修改,将用户名的参数修改成其他用户名
  2. 有些是通过前端验证,使用bp修改返回数据包,如何才能知道正确的数据包是怎么样的?直接试一试不就知道了- -
坚持原创技术分享,您的支持将鼓励我继续创作!
------ 本文结束 ------

版权声明

LangZi_Blog's by Jy Xie is licensed under a Creative Commons BY-NC-ND 4.0 International License
由浪子LangZi创作并维护的Langzi_Blog's博客采用创作共用保留署名-非商业-禁止演绎4.0国际许可证
本文首发于Langzi_Blog's 博客( http://langzi.fun ),版权所有,侵权必究。

0%