目錄:
- 身份認證安全
- 數據篡改
- 未授權訪問
- 密碼找回
- 驗證碼突破
- 接口調用安全
一:身份認證安全
⑴暴力破解
在沒有驗證碼限制或者一次驗證碼可以多次使用的地方,可以分為以下幾種情況:
- 爆破用戶名,當輸入的用戶名不存在時,會顯示請輸入正確用戶名,或者用戶名不存在
- 已知某個用戶名,比如admin進行字典爆破(暴力爆破 -- 弱口令)
- 使用一個常用密碼,比如123456對大量用戶進行爆破
補天漏洞實例:
某系統用戶密碼可爆破導致公司敏感信息泄屆
小豬短租某第三方系統從爆破用戶到低權限用戶命令執行
⑵撞庫
撞庫是黑客通過收集互聯網已泄露的用戶和密碼信息,生成對應的字典表,嘗試批量登陸其他網站后,得到一系列可以登錄的用戶。很多用戶在不同網站使用的是相同的帳號密碼,因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址,這就可以理解為撞庫攻擊。
漏洞成因:
1.用戶所有網站使用同一組賬號密碼
2.網站不允許存儲不加鹽的明文(1.不能是明文,2.不能是未加鹽的md5/sha1等,加鹽算法不能公開)
PS:加鹽:在密碼算法里邊,添加一些網站定義的字符,再進行各種算法,每個網站會存儲不同的結果
補天漏洞實例:
百合網暴力破解用戶名密碼成功率極高
聚美優品某處設計邏輯缺陷導致摘庫(成功賬號證明)
⑶Cookie偽造
修改cookie中的參數,實現登陸偽造,偽造任意用戶,偽造管理員等。
補天漏洞實例:
益雲廣告平台任意帳號登錄
⑷Session
- 預測
通過已知的session值,推測出服務器將要生成或者已經生成的session值,比如說某一個賬號登陸SESSID=1234,再使用另一個賬號登陸發現SESSID=12346,有點類似算法逆向加暴力破解。php生成隨機的session是極其復雜的並且難於被預測出來,這種漏洞一般出現在小型網站或者開發者自己編寫的網站。
- 捕獲
通過xss,嗅探等方法取得用戶的session,修改數據包登陸網站。
⑸加密測試
前端加密,用密文去后台校驗
補天漏洞實例:
某在線培訓系統Base64編碼后通用SQL盲注漏洞
二:數據篡改
⑴郵箱更改
抓包修改用戶或者郵箱參數為其他用戶或者郵箱
補天漏洞實例:
海爾集團某站邏輯漏洞泄屆用戶敏感信息(姓名+身份證+郵箱+手機)
⑵訂單ID更改
通過修改訂單ID號進行越權訪問
補天漏洞實例:
廣之旅旅行社任意訪問用戶訂單
114票務網某站邏輯漏洞利用支付超時導致上萬用戶敏感信息泄漏
⑶商品編號更改
例如積分兌換處,100個積分只能換商品編號為001,1000個積分只能換商品編號005,在100積分換商品的時候抓包把換商品的編號修改為005,用低積分換取高積分商品。
補天漏洞實例:
聯想積分商城邏輯刀導致支付漏洞
聯想某積分商城支付漏洞再繞過
⑷用戶ID更改
抓包查看自己的用戶id,然后修改id(加減1)查看是否能查看其它用戶id信息(橫向越權)。
補天漏洞實例:
前程無憂越權訪問個人簡歷
⑸手機號篡改
抓包修改手機號碼,進入其他人的頁面進行操作(橫向越權)。
利用方式:
- 手機號用USEID關聯
- 忘記密碼
- 用USERID 用手機號發送驗證碼
- 然后抓包 進行修改能接收別的手機號
- 然后輸入驗證碼 即可
⑹支付金額篡改
通過抓包修改支付金額等字段
補天漏洞實例:
12308訂單支付時的總價未驗證漏洞(支付邏輯漏洞)
destoon無限制增加賬號資金
大疆某處支付邏輯漏洞可1元買無人機
酷我音樂會員0.01元購買成功存在支付邏輯屆洞
美樂樂之用戶名爆破+支付邏輯漏洞
⑺商品數量篡改
抓包修改商品數量等字段,將請求中的商品數量修改成任意數額,如負數並提交,查看能否以修改后的數量完成業務流程。
補天漏洞實例:
海航旗下供銷大集支付邏輯漏洞(可0元支付)
蔚藍團支付邏輯漏洞(可負數支付)
三:未授權訪問
⑴橫向越權
同級間的越權,如:學習網站 從一個學生調到另一個學生的資料
補天漏洞實例:
暴風某站平行越權(用戶敏感信息泄露)
建行信用卡越權可批量遍歷用戶信息
⑵縱向越權
低權限到高權限,如:普通用戶權利越權獲得管理員用戶權利
補天漏洞實例:
9game論壇后台未授權訪問(可查看日志及私信)
大華DSS平台低權限賬戶越權直接修改system密碼
招商銀行某站未授權訪問與弱口令安全隱患
四:密碼找回
密碼找回思維導圖
⑴用戶憑證暴力破解
進行一個用戶憑證的爆破,如:重置密碼
補天漏洞實例:
用戶憑證暴力破解 -- 當當網 : 進行驗證碼的爆破 只有4位的驗證碼比較好跑出來
用戶憑證暴力破解 -- 微信:微信密碼重置漏洞
⑵返回憑證
根據返回憑證,抓響應包,進行利用
補天漏洞實例:
秀團網URL返回驗證碼
新浪謀站任意用戶密碼修改
麗子美妝嚴重邏輯漏洞
搜狐郵箱返回密碼問題答案
⑶郵箱弱 - token時間戳的MD5
根據線索判斷,進行推斷token的規律,進行token的驗證繞過
補天漏洞實例:
360 郵箱憑證為時間戳的md5值
⑶郵箱弱 - token服務器時間
根據線索判斷,進行推斷token的規律,進行token的驗證繞過
補天漏洞實例:
某中關村網站返回服務器時間
⑷用戶憑證有效性 - 短信驗證碼
通過短信的密碼找回,重置用戶密碼
補天漏洞實例:
樂宿客官網密碼找回邏輯漏洞,重置任意用戶密碼
⑸重新綁定 - 修改手機綁定
通過抓包修改為自身的手機號,進行重置修改其他用戶密碼
補天漏洞實例:
某彩票設計權限可修改任意用戶密碼
⑹修改憑證發送地址 - 修改郵箱地址
通過抓包修改為自身的郵箱地址,進行重置修改其他用戶密碼
補天漏洞實例:
和訊網修改任意用戶密碼漏洞
⑺服務器驗證 - 不驗證
郵件系統取回密碼功能設計邏輯錯誤,存在認證繞過漏洞,通過抓取數據包可通過修改報文,將找回問題答案參數刪除后,直接進行對密碼更改
補天漏洞實例:
國土資源部存在問題答案繞過修改密碼
⑻跳過身份驗證直接重置密碼
通過業務邏輯出錯利用,跳過身份驗證直接重置密碼
補天漏洞實例:
中國電信某IDC機房信息安全管理系統設計缺陷致使系統淪陷
⑼本地驗證 - 前端JS驗證 瀏覽器里進行驗證的
在客戶端的瀏覽器進行前端驗證碼的驗證在本地執行,通過修改response返回包進行控制
補天漏洞實例:
驗證短信碼等驗證信息的動作在本地執行,可以通過修改response返回包進行控制
⑼本地驗證 - 修改request包
在客戶端的瀏覽器進行前端驗證碼的驗證在本地執行,通過修改request包的通過信息
補天漏洞實例:
發送驗證短信碼等等驗證信息的動作在本地進行,可以修改request包的通過信息
⑽token生成可控
token生成可控
補天漏洞實例:
天天網任意賬號密碼重置
天天網再一次重置任意賬號密碼
⑾注冊覆蓋
注冊相同用戶名,重置用戶密碼
補天漏洞實例:
注冊相同用戶名,重置用戶密碼
⑿session覆蓋
通過session覆蓋,重置用戶密碼
補天漏洞實例:
聚美優品任意修改用戶密碼(非爆破)
五:驗證碼突破
工具推薦:PKAV 進行爆破
驗證碼突破
常見類型:驗證碼暴力破解、驗證碼重復使用、驗證碼繞過、驗證碼回顯、驗證碼自動識別
補天漏洞實例:
四川航空某處驗證碼突破導致泄漏員工敏感信息(10w員工信息)
易企秀繞過驗證碼進行撞庫
中國人壽某省站點邏輯漏洞可導致全部員工敏感信息泄漏(姓名、電話、所在部門等)
愛卡汽車網某重要系統設計邏輯缺陷(成功繞過驗證碼限制)
365地產家居網主站奇葩驗證碼導致可撞庫用戶
銀泰證券某理財平台后台弱口令(驗證碼缺陷)
中國鐵塔運維監控系統繞過驗證碼爆破
六:接口調用安全
什么是接口?
接口也叫做API,APl,英文全稱Application Programming Interface,翻譯為“應用程序編程接口”。是一些預先定義的函數,目的是提供應用程序與開發人員基於某軟件或硬件得以訪問一組例程的能力,而又無需訪問源碼,或理解內部工作機制的細節。
簡單接口實例介紹:
研發人員A開發了軟件A,研發人員B正在研發軟件B。
有一天,研發人員B想要調用軟件A的部分功能來用,但是他又不想從頭看一遍軟件A的源碼和功能實現過程,怎么辦呢?
研發人員A想了一個好主意:我把軟件A里你需要的功能打包好,寫成一個函數;你按照我說的流程,把這個函數放在軟件B里,就能直接用我的功能了!
其中,API就是研發人員A說的那個函數。
接口安全
應用的業務接口存在缺陷,可以通過業務接口直接進行惡意操作
補天漏洞實例:
新浪微博docker remote API未授權訪問導致遠程命令執行(root)
新浪微博某處SOAP接口外部實體注入
新浪某開發信息泄露導致api接口SQL注入(支持UNION)
貴州茅台酒廠某站點WebService接口SQL注入漏洞
邏輯漏洞總結
如何挖掘邏輯漏洞?
工具:
利用好BurpSuite即可
思路:
繞過真實用戶身份或正常業務流程達到預期的目的放開固定的流程思路,大膽嘗試