業務安全性漏洞挖掘歸納總結【轉載】

標籤：

0x00 索引說明

6.30在OWASP的分享，關於業務安全的漏洞檢測模型。進一步的延伸科普。

0x01 身份認證安全

1 暴力破解

在沒有驗證碼限制或者一次驗證碼可以多次使用的地方，使用已知使用者對密碼進行暴力破解或者用一個通用密碼對使用者進行暴力破解。 簡單的驗證碼爆破。URL: http://zone.wooyun.org/content/20839

一些工具及指令碼

Burpsuite

htpwdScan 撞庫爆破必備 URL: https://github.com/lijiejie/htpwdScan

hydra 源碼安裝xhydra支援更多的協議去爆破 (可破WEB，其他協議不屬於業務安全的範疇)

2 session & cookie類

會話固定攻擊：利用伺服器的session不變機制，借他人之手獲得認證和授權，冒充他人。案例：WooYun: 新浪廣東美食後台驗證邏輯漏洞，直接登入後台，566764名使用者資料暴露！

Cookie仿冒：修改cookie中的某個參數可以登入其他使用者。 案例：益雲廣告平台任意帳號登入WooYun: 益雲廣告平台任意帳號登入

3 弱加密

未使用https，是功能測試點，不好利用。

前端加密，用密文去後台校正，並利用smart decode可解

0x02 業務一致性安全

1 手機號篡改

a) 抓包修改手機號碼參數為其他號碼嘗試，例如在辦理查詢頁面，輸入自己的號碼然後抓包，修改手機號碼參數為其他人號碼，查看是否能查詢其他人的業務。

2 郵箱或者使用者篡改

a) 抓包修改使用者或者郵箱參數為其他使用者或者郵箱

b) 案例： WooYun: 綠盟RSAS安全系統全版本通殺許可權管理員繞過漏洞，包括最新 RSAS V5.0.13.2

3 訂單id篡改

a) 查看自己的訂單id，然後修改id（加減一）查看是否能查看其它訂單資訊。

b) 案例： WooYun: 廣之旅旅行社任意訪問使用者訂單

4 商品編號篡改

a) 例如積分兌換處，100個積分只能換商品編號為001,1000個積分只能換商品編號005，在100積分換商品的時候抓包把換商品的編號修改為005，用低積分換區高積分商品。

b) 案例：聯想某積分商城支付漏洞再繞過 WooYun: 聯想某積分商城支付漏洞再繞過

5 使用者id篡改

a) 抓包查看自己的使用者id，然後修改id（加減1）查看是否能查看其它使用者id資訊。

b) 案例： WooYun: 拉勾網百萬簡曆泄漏風險(包括手機、郵件、應聘職位等資訊、還可冒充企業身份篩選簡曆、發麵試通知等)

0x03 業務資料篡改

1 金額資料篡改

a) 抓包修改金額等欄位，例如在支付頁面抓取請求中商品的金額欄位，修改成任意數額的金額並提交，查看能否以修改後的金額資料完成商務程序。 b) 案例： WooYun: 12308訂單支付時的總價未驗證漏洞(支付邏輯漏洞)

2 商品數量篡改

a) 抓包修改商品數量等欄位，將請求中的商品數量修改成任意數額，如負數並提交，查看能否以修改後的數量完成商務程序。 b) 案例： WooYun: 蔚藍團支付邏輯漏洞(可負數支付)

3 最大數限制突破

a) 很多商品限制使用者購買數量時，伺服器僅在頁面通過js指令碼限制，未在伺服器端校正使用者提交的數量，通過抓包修改商品最大數限制，將請求中的商品數量改為大於最大數限制的值，查看能否以修改後的數量完成商務程序。

4 本地js參數修改

a) 部分應用程式通過Javascript處理使用者提交的請求，通過修改Javascript指令碼，測試修改後的資料是否影響到使用者。

0x04 使用者輸入合規性

1 注入測試 請參考http://wiki.wooyun.org/web:sql

2 XSS測試 請參考http://wiki.wooyun.org/web:xss

3 Fuzz

a) 功能測試用的多一些，有可能一個超長特殊字元串導致系統拒絕服務或者功能缺失。（當然fuzz不單單這點用途。）

b) 不太符合的案例，但思路可借鑒： WooYun: 建站之星模糊測試實戰之任意檔案上傳漏洞

c) 可能會用的工具 —— spike

4 其他用使用者輸入互動的應用漏洞

0x05 密碼找回漏洞

1 大力推薦BMa的《密碼找回邏輯漏洞總結》

http://drops.wooyun.org/web/5048

a) 密碼找回邏輯測試一般流程

i. 首先嘗試正常密碼找迴流程，選擇不同找回方式，記錄所有資料包

ii. 分析資料包，找到敏感部分

iii. 分析後台找回機制所採用的驗證手段

iv. 修改資料包驗證推測

b) 腦圖 （詳情請參考BMa的《密碼找回邏輯漏洞總結》）

0x06 驗證碼突破

驗證碼不單單在登入、找密碼應用，提交敏感性資料的地方也有類似應用，故單獨分類，並進一步詳情說明。

1 驗證碼暴力破解測試

a) 使用burp對特定的驗證碼進行暴力破解

b) 案例： WooYun: 盟友88電商平台任意使用者註冊與任意使用者密碼重設漏洞打包

2 驗證碼時間、次數測試

a) 抓取攜帶驗證碼的資料包不斷重複提交，例如：在投訴建議處輸入要投訴的內容資訊，及驗證碼參數，此時抓包重複提交資料包，查看曆史投訴中是否存在重複提交的參數資訊。

b) 案例：

3 驗證碼用戶端回顯測試

a 當用戶端有需要和伺服器進行互動，發送驗證碼時，即可使用firefox按F12調出firebug就可看到用戶端與伺服器進行互動的詳細資料

4 驗證碼繞過測試

a) 當第一步向第二步跳轉時，抓取資料包，對驗證碼進行篡改清空測試，驗證該步驟驗證碼是否可以繞過。

b) 案例： WooYun: 中國電信某IDC機房資訊安全管理系統設計缺陷致使系統淪陷

5 驗證碼js繞過

a) 簡訊驗證碼驗證程式邏輯存在缺陷，商務程序的第一步、第二部、第三步都是放在同一個頁面裡，驗證第一步驗證碼是通過js來判斷的，可以修改驗證碼在沒有擷取驗證碼的情況下可以填寫實名資訊，並且提交成功。

0x07 業務授權安全

1 未授權訪問

a) 非授權訪問是指使用者在沒有通過認證授權的情況下能夠直接存取需要通過認證才能訪問到的頁面或文本資訊。可以嘗試在登入某網站前台或後台之後，將相關的頁面連結複製於其他瀏覽器或其他電腦上進行訪問，看是否能訪問成功。

2 越權訪問

越權漏洞的成因主要是因為開發人員在對資料進行增、刪、改、查詢時對用戶端請求的資料過分相信而遺漏了許可權的判定

a) 垂直越權（垂直越權是指使用許可權低的使用者可以存取權限較高的使用者）

b) 水平越權（水平越權是指相同許可權的不同使用者可以互相訪問）（wooyun-2010-0100991 PHPEMS多處存在水平許可權問題）

c) 《我的越權之道》URL：http://drops.wooyun.org/tips/727

0x08 商務程序亂序

1 順序執行缺陷

a) 部分網站邏輯可能是先A過程後B過程然後C過程最後D過程

b) 使用者控制著他們給應用程式發送的每一個請求，因此能夠按照任何順序進行訪問。於是，使用者就從B直接進入了D過程，就繞過了C。如果C是支付過程，那麼使用者就繞過了支付過程而買到了一件商品。如果C是驗證過程，就會繞過驗證直接進入網站程式了。

c) 案例：

WooYun: 萬達某分站邏輯錯誤可繞過支付直接獲得取票密碼

http://wooyun.org/bugs/wooyun-2010-0108184

0x09 業務介面調用安全

1 重放攻擊

在簡訊、郵件調用業務或產生業務資料環節中（類：簡訊驗證碼，郵件驗證碼，訂單產生，評論提交等），對其業務環節進行調用（重放）測試。如果業務經過調用（重放）後被多次產生有效業務或資料結果

a) 惡意註冊

b) 簡訊炸彈

在測試的過程中，我們發現眾多的金融交易平台僅在前端通過JS校正時間來控制簡訊發送按鈕，但後台並未對發送做任何限制，導致可通過重放包的方式大量發送惡意簡訊

案例： WooYun: 一畝田交易網邏輯漏洞（木桶原理）

2 內容編輯

類似案例如下：

點擊“擷取簡訊驗證碼”，並抓取資料包內容，如。通過分析資料包，可以發現參數sendData/insrotxt的內容有用戶端控制，可以修改為攻擊者想要發送的內容

將內容修改“恭喜你獲得由xx銀行所提供的iphone6一部，請登入http://www.xxx.com領取，驗證碼為236694”並發送該資料包，手機可收到修改後的簡訊內容，如：

0x10 時效繞過測試

大多有利用的案例發生在驗證碼以及業務資料的時效範圍上，在之前的總結也有人將12306的作為典型，故，單獨分類。

1 時間重新整理缺陷

12306網站的買票業務是每隔5s，票會重新整理一次。但是這個時間確實在本地設定的間隔。於是，在控制台就可以將這個時間的關聯變數重新設定成1s或者更小，這樣重新整理的時間就會大幅度縮短（主要更改autoSearchTime本地參數）。 案例：

WooYun: 12306自動刷票時間可更改漏洞

2 時間範圍測試

針對某些帶有時間限制的業務，修改其時間限制範圍，例如在某項時間限制範圍內查詢的業務，修改含有時間明文欄位的請求並提交，查看能否繞過時間限制完成商務程序。例如通過更改查詢手機網廳的受理記錄的month範圍，可以突破預設只能查詢六個月的記錄。

0x11 參考

@eversec

應用程式邏輯錯誤總結 http://drops.wooyun.org/papers/1418

密碼找回功能可能存在的問題 http://drops.wooyun.org/papers/287

密碼找回功能可能存在的問題（補充） http://drops.wooyun.org/web/3295

密碼找回邏輯漏洞總結 http://drops.wooyun.org/web/5048

支付漏洞的三種常見類型——加固方案 http://zone.wooyun.org/content/878

線上支付邏輯漏洞總結 http://drops.wooyun.org/papers/345

金融行業平台常見安全性漏洞與防禦 http://www.freebuf.com/news/special/61082.html

我的越權之道 http://drops.wooyun.org/tips/727

安全科普：看視頻理解Web應用安全性漏洞TOP10（IBM內部視頻） http://www.freebuf.com/vuls/63426.html

轉自：http://drops.wooyun.org/category/web/page/3

業務安全性漏洞挖掘歸納總結【轉載】