SRC邏輯漏洞挖掘淺談

1.資產收集

1.1業務范圍

巧用搜索引擎首推谷歌查看了解SRC旗下涉及到的業務，收集其對應的業務下的域名，再進一步進行挖掘，如：

整理，再進行常規資產收集

1.2常規性質資產收集

基本的資產收集方式：子域名枚舉、端口掃描、路徑掃描、旁站c段查詢

• 子域名

  子域名爆破：

  sublist3r、subdomainsBurte、DiscoverSubdomain、layer子域名挖掘機

  

  子域名枚舉

  通過網絡空間安全搜索引擎

  雲悉資產、FOFA、Virustotal、Dnsdumpster、Threatcrowd

  

  

• 路徑掃描

  dirsearch 、御劍、

  

• 旁站C段查詢

  在線旁站C段查詢：www.webscan.cc、www.5kik.com、phpinfo.me

1.3信息泄漏

• 敏感目錄/文件

豬豬俠weakfilescan、cansina、sensitivefilescan、FileSensor

• 網頁源碼/js/json泄漏敏感接口

  1)接口泄漏

​ 2）json敏感信息泄漏

目前發現關於這部分沒有發現比較好的收集工具或腳本，因此打算寫一個，目前還正在編寫中，主要基於chrom協議、pyppeteer框架動態觸發爬取包含ajax以盡可能的收集到url、接口、域名：

a)網站源碼涉及到的子域名ur接口資產爬取

b)網站源碼js中包含的請求或拼接的訪問接口

c高級功能）url接口中json信息泄漏識別

1.4其他業務查找

微信公眾號綁定接口、app、老舊的登陸接口、版本迭代

2.越權

• 改識別用戶參數
• 改cookie
• 越權訪問
• 登陸后，修改密碼 未校驗id與用戶 修改id 即可該其他人密碼
• 修改個人數據時 頁面源代碼有用戶標識符id 抓包修改或添加id
• 直接訪問后台鏈接禁用js則不會跳轉登錄界面，直接登陸

• 登陸分為賬號和游客登陸，游客功能有限，app端只前端檢測，模擬發包即可

• 越權訂單查看打印下載、越權操作他人收貨地址、增刪改查等。

3.邏輯漏洞

任意用戶注冊、密碼重置、密碼找回、

3.1本地驗證、修改返回包

1）獲取驗證碼后任意輸入一個驗證碼。

2）抓包放行，得到的返回包如下

3）抓包改返回包修改為正確的返回包覆蓋錯誤的返回包，如下

{“code”:1,”data”:”目標用戶手機號”,”msg”:”綁定成功Ÿ”}

4）放行，修改成功

3.2手機號、驗證碼、用戶未統一驗證問題

​ 未對原綁定手機號、驗證碼、用戶未統一驗證，或驗證碼未綁定 只驗證驗證碼正確，沒判斷用戶id 或手機號，修改想改的id 正確手機驗證碼即可

如密碼找回重置時未對原綁定手機號驗證進行任意賬號密碼重置

150**73賬號被重置

3.3密碼重置類其他邏輯問題

1. 以重置成功的token覆蓋最后一步錯誤的token和1類似。
2. 密碼重置時刪除mobilephone參數值修改email參數值
3. 假如找回需要4部，最后一部有user參數，用自己賬號正常到第三部，第四部修改user實現

4.支付邏輯漏洞

5.步驟，可跳過步驟

酒店..

6.爆破、枚舉

1. 撞庫，登陸時無驗證碼且可無限被嘗試，用戶名驗證時有無用戶名錯誤回顯、密碼可被爆破

2. 無驗證碼，驗證碼不刷新，驗證碼4位過於簡單無嘗試次數限制可被爆破、

3. 枚舉注冊用戶 輸入用戶名，發送請求驗證用戶名是否正確(若返回次數限制,可測試服務端未限制高頻訪問)

4. 登陸失敗有次數限制,若包中有限制參數可更改或刪除參數

5. 郵箱轟炸，短信轟炸，burp Repeate，短信轟炸驗證碼有60秒限制時，有的參數修改后可繞過 如

   1）isVerfi參數 這里是1 回包 3 手機沒收到信息 存在驗證碼限制

   

改為0 回顯2 繞過了驗證碼限制

7.其他

• cookie一直有效，（修改密碼后）

第三方賬戶登錄繞過(攔截微博授權成功的請求地址： https://api.weibo.com/oauth2/sso_authorize?sflag=1 修改response中uid，服務端沒有校驗客戶端提交的uid與授權成功的uid相同)