逻辑漏洞逻辑漏洞分类逻辑漏洞挖掘原理概述1 .验证类漏洞旁路1 .客户端验证旁路2 .客户端信息泄露3 .客户端过程控制4 .操作目标篡改5 .参数篡改6 .暴力破解2 .越权访问类漏洞3.tott
逻辑漏洞分类绕过越权访问交易活动的验证,其他漏洞逻辑漏洞挖掘原理概述情景分析风险分析漏洞验证漏洞记录原理:程序逻辑错误导致越权、交易金额修改等事件发生。 挖掘时需要分析主要场景,如学生管理平台越权、交易时是否可能修改金额等。
在登录旁路、某个工作场所的登录页面和burpsuite中抓住包时,某个参数的后台返回值为0,对该参数的前端判断发生验证错误,登录失败。 当参数值“是我吧”修改为1时,前端验证成功,可以登录后台。
越权通过修改具有url的参数的值,学生有可能越权。 这些参数的值应该包含在session中,不能给用户看或修改。
交易类漏洞一般可以在burpsuite包中验证,可以任意修改金额。 防护时,应将交易金额告知通信双方,如有人篡改,应多层验证,如验证不符,关闭交易。 尽量把交易金额放入会话中。 此外,禁止使用https通信协议被捕。HTTPS加密协议是TLS,更安全。
在密码返回的场景中,通过修改手机号码信息,控制验证码发送到指定的手机号码。 以前,网络电子邮件地址中有这样的漏洞。 只要在url中包含用户的邮件地址信息,修改为被攻击者的邮件地址,就可以直接登录。 我们可以在这个邮箱里绑定我们的手机号码,用正常流程、手机验证码修改密码。
1 .验证类漏洞绕过验证类逻辑漏洞: https://blog.csdn.net/weixin _ 46684578/article/details/119842025
1 .客户端将绕过使用html input标记的属性,并确保限制用户输入的内容。
使用javascript验证用户输入,如果输入了不正确的内容,将自动清除或禁止提交表单。
将本地验证用户数据的结果作为请求参数或cookie提交。
作为请求参数或cookie提交用户需要验证的重要数据,例如是否参加了活动、参加活动的次数等。
2 .来自客户端的信息泄露直接将认证信息返回到客户端页面的源代码。
将凭据返回到接口。
测试方法:
访问HTML页面的源代码以确定是否存在凭据。
在BURP侦听包中跟踪认证过程,并检查是否存在凭据
3 .客户端过程控制可以通过抓住包并修改手机号码,将验证码发送给任何手机号码
测试方法:
在BURP中监听请求,响应数据包,在验证成功和验证失败的情况下找到数据包中的关键字,将验证失败的关键字篡改为验证成功的情况下的关键字,然后返回客户端。 使用burp侦听请求和响应包跟踪在认证成功时触发的请求,并在认证失败时直接构建相同的请求4 .如果操作对象的篡改操作采用连续认证机制,或者认证过程与操作过程分离,则在认证过程中进行认证
测试方法:
如果目标操作与认证功能断开,请尝试在认证完成后更改操作目标。
5 .参数篡改程序员在编写验证程序时可能会准确验证验证码字段,但如果验证码字段不存在或为空,则直接验证通过。
测试方法:
在burpsuite中抓住包,将验证码字段设置为空或删除后提交
实际情况:
西部证券所在系统存在绕过验证的漏洞,可以通过burpsuite抓住包,删除验证码(securityCode字段)进行爆破。
6 .暴力破解可以使用burpsuite等工具
2 .越权访问类漏洞推荐文章https://blog.csdn.net/weixin _ 46684578/article/details/119842225。
水平越权),例如,对于a先生经过某种手段,访问只有b先生才能访问的信息的垂直越权(只有a先生经过某种操作才能访问的老师才能访问的信息3 )交易类的脆弱性这个漏洞,资金、虚拟货币、积分等包括参与活动类和获得报酬的功能,如果没有在设计实施时考虑到足够的安全性,这些功能会导致业务逻辑漏洞。
1 .重放攻击重放攻击是指攻击者发送目标主机收到的数据包以欺骗系统。 这种攻击会重复恶意或欺诈性的有效数据传输。
2 .数据篡改测试能否通过参数篡改的方式修改交易金额,实现非法利润。 除买卖外,转账、报酬、红包、兑换等各类资金、假币、积分等功能的实现过程也需要进行本测试。
3 .流程绕过客户端测试活动业务是否存在漏洞,是否能不符合活动参与条件参加活动或获得收益
见的客户端验证方法 4. 资源滥用攻击者常见的恶意调用方式包括资源滥用和信息篡改者:
资源滥用如短信炸弹、邮件炸弹等,使用自动化工具频繁调用接口,消耗系统资源,对用户进行骚扰。
采用遍历的方式想很多用户推送消息。
分类:
短信验证码
社交功能
测试方法:使用抓包工具跟踪消息推送接口的调用过程,如果满足以下要求(如业务或行业有相关规范要求以相关规范要求为准),则认为不存在本漏洞,如果仅满足部分要求、可以无限制使用自动化工具重复调用或限制措施可以通过绕过验证的方式绕过,则记录中风险漏洞:
接口调用有时间间隔限制且不小于一分钟
接口调用有单位时间内调用次数限制,如每小时最多调用多少次或每天最多调用多少次。
使用抓包工具跟踪消息推送接口的调用过程,如果可以通过参数篡改等方式修改消息推送接口的推送的内容,则记录高风险漏洞。
修复建议短信内容必须在服务端生成,不得由客户端控制。
在服务器端对短信发送功能进行限制,根据客户端请求的IP或目标号码,限制短信发送的总数量、单位时间内的数量、两次发送的间隔,如每天最多发送30条短信,每小时最多发送10条短信,任意两条短信之间发送的时间间隔需要达到1分钟以上。