0x01. 通用業務邏輯漏洞模塊
通用業務邏輯漏洞模塊,是各行業共性的業務邏輯安全風險點,在每次的測試過程中也是最常見到的模塊,也是測試的重點對象,所以網上介紹此類邏輯漏洞的文章很多,在這里再做下簡單的思路點總結:
1.注冊模塊
•惡意用戶批量注冊。
•用戶登錄賬號、id、昵稱身份覆蓋。
2.登錄認證模塊
•密碼爆破。
•空密碼登錄。
•登錄越權:修改登錄請求返回包中的用戶id等。
3.找回密碼(修改密碼)模塊
•前端js校驗繞過。
•郵箱重置密碼鏈接弱token遍歷。
4.驗證碼模塊(圖形、滑塊、手機、郵箱)
•驗證碼前端js繞過。
•驗證碼空參數或刪除驗證碼繞過。
•圖形驗證碼長寬DDOS。
•驗證碼單一用戶無限制發送。
•驗證碼重復使用。
•驗證碼低位數爆破。
•驗證碼回傳泄露。
•驗證碼越權接收。
•驗證碼重復發送同一值。
5.支付交易(充值、提現、抽獎、優惠券、會員)等多個模塊
•金額、數量負值/小數。
•總金額=商品金額+優惠券金額(只校驗訂單總金額,而不單獨校驗優惠券金額跟商品金額,可增大優惠券金額)。
•訂單參數混淆干擾(在同一個訂單內提交兩個或多個金額參數,如price=1&price=-1)。
•校驗商品總數量不能為負數,而不校驗單個數量,可以設置兩個商品一個數量為-1,一個數量為2。
•越權使用他人優惠券。
•首充優惠、升級會員等,多台設備同一賬號同時進入支付寶微信第三方支付頁面,此時簽名訂單已生成,支付時不會變成其他金額,可依次以優惠價格支付訂單。
•小數點精度:0.019=0.02(比如充值0.019元,第三方支付截取到分也就是0.01元,但是系統四舍五入為0.02)。
•int型溢出(超過最大值整數溢出)遍歷優惠券id,有可能遍歷出測試隱藏的無條件大額優惠券。
•首充、提現、抽獎、領取優惠券等並發:不一定非要用同一個數據包去進行多次並發操作,可用bp等工具攔截客戶端數據包,快速多次點擊相應客戶端按鈕,然后停止攔截,並發請求。
0x02. 專項業務邏輯漏洞模塊
由於業務邏輯漏洞更側重的是思路,再加上師傅們超脫銀河系的腦洞,各行各業的業務邏輯漏洞被挖掘的越來越多。接下來以我自身案例以及網上分享的邏輯漏洞思路點,給大家匯總一下不同行業所特有的邏輯漏洞風險點:
1.直播
•快速進出房間炸房。
•無限發送點贊協議。
•修改禮物數量,0,小數,負數,特定值(一般情況下為1073741824)。
•修改禮物ID,遍歷嘗試是否有隱藏ID。
•並發送禮物,抽獎。
•無限創建首次優惠訂單,有些首次優惠訂單是一個特殊的pid,這種的直接替換pid進行支付。有些是相同的ID,這種的提前創建訂單,記錄多個訂單號在依次修改訂單支付。
•刷屏:發言刷屏,分享,點贊等有提示的地方刷屏房間內可以申請的地方進行申請取消操作,看看是否能炸房。
•越權踢人,增加管理員,關閉房間等操作。
•發送的表情是否可以修改長寬(真實案例)。
•加密直播嘗試刪除頁面鎖定彈窗對應div標簽。
2.外賣
•商品數量,0,負數,小數,特定值,正負數(A為-1,B為2,總值為1)。
•送餐員評價修改,星級,打賞金額(小數,負數)。
•訂單商品評價,星級,評論字數,上傳圖片是否可以自定義格式。
•訂單超出送餐地址。
•強行貨到付款,取消訂單,退款。
•越權操作別人訂單,登錄。
•優惠購買會員(重復使用優惠購買)。
3.社交論壇
•強行舉報(讀取本地消息上傳那種)。
•強行加好友(一般嘗試重發通過好友這條協議)。
•自由修改號碼(靚號類)。
•群管理無限禁言越權禁言,踢人,拉黑。
•會員修改金額,數量,無限優惠購買。
•非會員使用會員功能。
4.購物
•購買數量:為0,小數,負數,正負值(A為-1,B為2,總值為1)。
•代金券:並發領取,遍歷領取。
•同一個代金券重復使用。
•未滿足條件使用代金券。
5.讀書/漫畫
•打賞金額為負數,小數,特定值(溢出)。
•越權刪除評論,登錄。
•修改充值金額。
•付費漫畫免費看。
•評論圖片數量過多會導致客戶端加載卡死。
6.音樂
•唱歌類軟件修改上傳分數等參數。
•付費下載嘗試替換下載ID。
•修改付費下載金額。
•F12查看下是否有歌曲地址。
7.網約車
•無限叫車,重復發送協議造成市場混亂。
•修改評價分數。
•修改限時優惠叫車關鍵參數。
•越權操作其他訂單。
8.交易平台
•錢包並發提現,負數提現。
•使用錢包支付時多個訂單並發支付(是否支付金額能大於余額)。
•轉賬負數,並發轉賬。
•上架商品突破限制,例如數量,字數。
•替換訂單,創建訂單號如果訂單狀態可修改,先進到支付界面,然后將訂單修改成更大的金額,然后支付提前進入的支付界面。
•數量修改。
9.快遞
•根據距離計算金額時選擇近距離,在最終生成訂單時進行收貨地址修改。
•訂單重量修改。
•無驗證碼限制無限發送上門取件訂單。
•快遞員評價分數刷分。
•訂單遍歷。
10.教育
•免費領取課程遍歷id/替換收費課程id。
•試看課程抓包查看詳情是否返回所有課程鏈接(會員視頻課程同理,會員到期仍可觀看或會員權限下可看到專享課程視頻鏈接)。
•自助模擬考試多次重復答題刷分。
•順序缺陷繞過支付獲取課程鏈接。
•教師端篡改課時提前結取薪酬。