3358 www.360doc.com/show web/0/0/967440239.aspx
0x01认证安全性
http://www.Sina.com/http://www.Sina.com /
在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户暴力破解密码,或者使用公共密码暴力破解用户。
简单的验证码爆破。 URL:
3358 zone.woo yun.org/content/20839
一些工具和脚本
Burpsuite
htpwdScan崩溃库爆破所需的URL:
33559 github.com/Li jiejie/htpwdscan
hydra源代码安装xhydra支持更多协议进行爆破(可以破坏WEB,其他协议不属于业务安全范畴)。
1
session cookie http://www.Sina.com /
会话攻击:利用服务器的session不变机制,通过他人的手获得认证和授权,冒充他人。 案例: WooYun:新浪广东美食后台验证逻辑漏洞,直接登录后台,566764名用户资料被曝光!
cookie伪造:通过修改cookie的参数,其他用户可以登录。
案例:益云广告平台任意账号注册WooYun:益云广告平台任意账号注册
http://www.Sina.com/http://www.Sina.com /
未使用的https是功能测试点,很难利用。
加密前端,用密文进行后台检查,利用smart
解码可以解开
0x02业务完整性安全性
http://www.Sina.com/http://www.Sina.com /
a )尝试将手机号码的参数更改为其他号码。 例如,在查询页面,输入自己的号码,然后抓起包,将手机号码参数改为其他人的号码,确认是否可以查询其他人的业务。
http://www.Sina.com/http://www.Sina.com /
a )将用户或邮箱参数更改为其他用户或邮箱
b )案例: WooYun:绿色联盟RSAS安全系统完整版本的通杀权限管理员绕过漏洞,包括最新的RSAS
V5.0.13.2
3358 www.Sina.com/http://www.Sina.com/http://www.Sina.com/http://www.Sina.com /
a )确认自己的订单id,修改id (正负1 )确认是否可以显示其他订单信息。
b )案例: WooYun:广之旅旅行社任意访问用户订单
http://www.Sina.com/http://www.Sina.com /
a )例如在积分兑换所,100积分只能兑换商品编号001,1000积分的商品编号005。 用100分更换商品时抓住包把更换商品的号码改为005,用低分更换高分商品。
B )案例:再议联想某积分商城的支付漏洞,再议和重述woo Yun :联想某积分商城的支付漏洞
3358 www.Sina.com/http://www.Sina.com/http://www.Sina.com/http://www.Sina.com /
a )抓住包以检查自己的用户身份,修改身份(加/减1 ),确认是否可以显示其他用户身份信息。
B ) WooYun:网络百万条简历泄露风险(也可以通过手机、短信、应聘职位等信息,冒用企业身份筛选简历、发送面试通知) )。
0x03业务数据篡改
http://www.Sina.com/http://www.Sina.com /
a )捕获调整金额等字段,例如在支付页面上捕获已开单商品的金额字段,修改为任意金额后提交,确认能否通过修改后的金额数据完成业务流程。 b )情况: WooYun:
12308订单支付时的总额未验证漏洞(支付逻辑漏洞) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) )。
http://www.Sina.com/http://www.Sina.com /
A )抓住包修改商品数量等字段,将请求中的商品数量修改为负数等任意金额后提交,确认能否按修改后的数量完成业务流程。 b )案例: WooYun:蓝色支付逻辑漏洞(可负支付) ) ) ) ) )。
http://www.Sina.com/http://www.Sina.com /
a )很多商品限制用户购买数量时,服务器只通过js脚本限制页面,不在服务器端检查用户提交的数量,而是抓住软件包修正商品最大数量的限制,将请求中的商品数量变更为比最大数量的限制大的值,进行修正
3358 www.Sina.com/http://www.Sina.com/http://www.Sina.com/http://www.Sina.com /
a )某些APP应用程序通过Javascript处理用户请求,并通过修改Javascript脚本来测试修改后的数据是否影响了用户。
0x04用户输入合规性
1注入测试
请参考http://wiki.wooyun.org/web:sql
2
XSS测试
请参考http://wiki.wooyun.org/web:xss
3
Fuzz
a)功能测试用的多一些,有可能一个超长特殊字符串导致系统拒绝服务或者功能缺失。(当然fuzz不单单这点用途。)
b)不太符合的案例,但思路可借鉴:WooYun:建站之星模糊测试实战之任意文件上传漏洞
c)可能会用的工具
——spike
4其他用用户输入交互的应用漏洞
0x05密码找回漏洞
1大力推荐BMa的《密码找回逻辑漏洞总结》
http://drops.wooyun.org/web/5048
a)密码找回逻辑测试一般流程
i.首先尝试正常密码找回流程,选择不同找回方式,记录所有数据包
ii.分析数据包,找到敏感部分
iii.分析后台找回机制所采用的验证手段
iv.修改数据包验证推测
b)脑图
(详情请参考BMa的《密码找回逻辑漏洞总结》)
0x06验证码突破
验证码不单单在登录、找密码应用,提交敏感数据的地方也有类似应用,故单独分类,并进一步详情说明。
1验证码暴力破解测试
a)使用burp对特定的验证码进行暴力破解
b)案例:WooYun:盟友88电商平台任意用户注册与任意用户密码重置漏洞打包
2验证码时间、次数测试
a)抓取携带验证码的数据包不断重复提交,例如:在投诉建议处输入要投诉的内容信息,及验证码参数,此时抓包重复提交数据包,查看历史投诉中是否存在重复提交的参数信息。
b)案例:
3验证码客户端回显测试
a当客户端有需要和服务器进行交互,发送验证码时,即可使用firefox按F12调出firebug就可看到客户端与服务器进行交互的详细信息
4验证码绕过测试
a)当第一步向第二步跳转时,抓取数据包,对验证码进行篡改清空测试,验证该步骤验证码是否可以绕过。
b)案例:WooYun:中国电信某IDC机房信息安全管理系统设计缺陷致使系统沦陷
5验证码js绕过
a)短信验证码验证程序逻辑存在缺陷,业务流程的第一步、第二部、第三步都是放在同一个页面里,验证第一步验证码是通过js来判断的,可以修改验证码在没有获取验证码的情况下可以填写实名信息,并且提交成功。
0x07业务授权安全
1未授权访问
a)非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访问到的页面或文本信息。可以尝试在登录某网站前台或后台之后,将相关的页面链接复制于其他浏览器或其他电脑上进行访问,看是否能访问成功。
2越权访问
越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定
a)垂直越权(垂直越权是指使用权限低的用户可以访问权限较高的用户)
b)水平越权(水平越权是指相同权限的不同用户可以互相访问)(wooyun-2010-0100991
PHPEMS多处存在水平权限问题)
c)《我的越权之道》URL:http://drops.wooyun.org/tips/727
0x08业务流程乱序
1顺序执行缺陷
a)部分网站逻辑可能是先A过程后B过程然后C过程最后D过程
b)用户控制着他们给应用程序发送的每一个请求,因此能够按照任何顺序进行访问。于是,用户就从B直接进入了D过程,就绕过了C。如果C是支付过程,那么用户就绕过了支付过程而买到了一件商品。如果C是验证过程,就会绕过验证直接进入网站程序了。
c)案例:
WooYun:万达某分站逻辑错误可绕过支付直接获得取票密码
http://wooyun.org/bugs/wooyun-2010-0108184
0x09业务接口调用安全
1重放攻击
在短信、邮件调用业务或生成业务数据环节中(类:短信验证码,邮件验证码,订单生成,评论提交等),对其业务环节进行调用(重放)测试。如果业务经过调用(重放)后被多次生成有效的业务或数据结果
a)恶意注册
b)短信炸弹
在测试的过程中,我们发现众多的金融交易平台仅在前端通过JS校验时间来控制短信发送按钮,但后台并未对发送做任何限制,导致可通过重放包的方式大量发送恶意短信
案例:WooYun:一亩田交易网逻辑漏洞(木桶原理)
2内容编辑
类似案例如下:
点击“获取短信验证码”,并抓取数据包内容,如下图。通过分析数据包,可以发现参数sendData/insrotxt的内容有客户端控制,可以修改为攻击者想要发送的内容
将内容修改“恭喜你获得由xx银行所提供的iphone6一部,请登录http://www.xxx.com领取,验证码为236694”并发送该数据包,手机可收到修改后的短信内容,如下图:
0x10时效绕过测试
大多有利用的案例发生在验证码以及业务数据的时效范围上,在之前的总结也有人将12306的作为典型,故,单独分类。
1时间刷新缺陷
12306网站的买票业务是每隔5s,票会刷新一次。但是这个时间确实在本地设置的间隔。于是,在控制台就可以将这个时间的关联变量重新设置成1s或者更小,这样刷新的时间就会大幅度缩短(主要更改autoSearchTime本地参数)。
案例:
WooYun:
12306自动刷票时间可更改漏洞
2时间范围测试
针对某些带有时间限制的业务,修改其时间限制范围,例如在某项时间限制范围内查询的业务,修改含有时间明文字段的请求并提交,查看能否绕过时间限制完成业务流程。例如通过更改查询手机网厅的受理记录的month范围,可以突破默认只能查询六个月的记录。
0x11参考
@eversec
应用程序逻辑错误总结http://drops.wooyun.org/papers/1418
密码找回功能可能存在的问题http://drops.wooyun.org/papers/287
密码找回功能可能存在的问题(补充)http://drops.wooyun.org/web/3295
密码找回逻辑漏洞总结http://drops.wooyun.org/web/5048
支付漏洞的三种常见类型——加固方案http://zone.wooyun.org/content/878
在线支付逻辑漏洞总结http://drops.wooyun.org/papers/345
金融行业平台常见安全漏洞与防御http://www.freebuf.com/news/special/61082.html
我的越权之道http://drops.wooyun.org/tips/727
安全科普:看视频理解Web应用安全漏洞TOP10(IBM内部视频)http://www.freebuf.com/vuls/63426.html