web漏洞遠程挖掘

hackxc

        遠程挖掘web漏洞
0x00 索引說明

6.30在OWASP的分享，關于業(yè)務安全的漏洞檢測模型。進一步的延伸科普。







0x01 身份認證安全


1 暴力破解


在沒有驗證碼限制或者一次驗證碼可以多次使用的地方，使用已知用戶對密碼進行暴力破解或者用一個通用密碼對用戶進行暴力破解。 簡單的驗證碼爆破。URL: http://zone.wooyun.org/content/20839


一些工具及腳本


Burpsuite


htpwdScan 撞庫爆破必備 URL: https://github.com/lijiejie/htpwdScan


hydra 源碼安裝xhydra支持更多的協(xié)議去爆破 (可破WEB，其他協(xié)議不屬于業(yè)務安全的范疇)


2 session & cookie類


會話固定攻擊：利用服務器的session不變機制，借他人之手獲得認證和授權，冒充他人。案例：http://www.wooyun.org/bugs/wooyun-2010-025427


Cookie仿冒：修改cookie中的某個參數(shù)可以登錄其他用戶。 案例：益云廣告平臺任意帳號登錄 http://www.wooyun.org/bugs/wooyun-2014-051424


3 弱加密


未使用https，是功能測試點，不好利用。


前端加密，用密文去后臺校驗，并利用smart decode可解


0x02 業(yè)務一致性安全


1 手機號篡改


a) 抓包修改手機號碼參數(shù)為其他號碼嘗試，例如在辦理查詢頁面，輸入自己的號碼然后抓包，修改手機號碼參數(shù)為其他人號碼，查看是否能查詢其他人的業(yè)務。


2 郵箱或者用戶篡改


a) 抓包修改用戶或者郵箱參數(shù)為其他用戶或者郵箱


b) 案例：http://www.wooyun.org/bugs/wooyun-2014-074441


3 訂單id篡改


a) 查看自己的訂單id，然后修改id（加減一）查看是否能查看其它訂單信息。


b) 案例： http://www.wooyun.org/bugs/wooyun-2010-044137


4 商品編號篡改


a) 例如積分兌換處，100個積分只能換商品編號為001,1000個積分只能換商品編號005，在100積分換商品的時候抓包把換商品的編號修改為005，用低積分換區(qū)高積分商品。


b) 案例：聯(lián)想某積分商城支付漏洞再繞過 http://www.wooyun.org/bugs/wooyun-2010-041617


5 用戶id篡改


a) 抓包查看自己的用戶id，然后修改id（加減1）查看是否能查看其它用戶id信息。


b) 案例：http://www.wooyun.org/bugs/wooyun-2010-0111617


0x03 業(yè)務數(shù)據(jù)篡改


1 金額數(shù)據(jù)篡改


a) 抓包修改金額等字段，例如在支付頁面抓取請求中商品的金額字段，修改成任意數(shù)額的金額并提交，查看能否以修改后的金額數(shù)據(jù)完成業(yè)務流程。 b) 案例：http://www.wooyun.org/bugs/wooyun-2010-0117083


2 商品數(shù)量篡改


a) 抓包修改商品數(shù)量等字段，將請求中的商品數(shù)量修改成任意數(shù)額，如負數(shù)并提交，查看能否以修改后的數(shù)量完成業(yè)務流程。 b) 案例：http://www.wooyun.org/bugs/wooyun-2010-0109037


3 最大數(shù)限制突破


a) 很多商品限制用戶購買數(shù)量時，服務器僅在頁面通過js腳本限制，未在服務器端校驗用戶提交的數(shù)量，通過抓包修改商品最大數(shù)限制，將請求中的商品數(shù)量改為大于最大數(shù)限制的值，查看能否以修改后的數(shù)量完成業(yè)務流程。


4 本地js參數(shù)修改


a) 部分應用程序通過Javascript處理用戶提交的請求，通過修改Javascript腳本，測試修改后的數(shù)據(jù)是否影響到用戶。


0x04 用戶輸入合規(guī)性


1 注入測試 請參考http://wiki.wooyun.org/web:sql


2 XSS測試 請參考http://wiki.wooyun.org/web:xss


3 Fuzz


a) 功能測試用的多一些，有可能一個超長特殊字符串導致系統(tǒng)拒絕服務或者功能缺失。（當然fuzz不單單這點用途。）


b) 不太符合的案例，但思路可借鑒：http://www.wooyun.org/bugs/wooyun-2010-048293


c) 可能會用的工具 —— spike


4 其他用用戶輸入交互的應用漏洞


0x05 密碼找回漏洞


1 大力推薦BMa的《密碼找回邏輯漏洞總結》


http://drops.wooyun.org/web/5048


a) 密碼找回邏輯測試一般流程


i. 首先嘗試正常密碼找回流程，選擇不同找回方式，記錄所有數(shù)據(jù)包


ii. 分析數(shù)據(jù)包，找到敏感部分


iii. 分析后臺找回機制所采用的驗證手段


iv. 修改數(shù)據(jù)包驗證推測


b) 腦圖 （詳情請參考BMa的《密碼找回邏輯漏洞總結》）





0x06 驗證碼突破

驗證碼不單單在登錄、找密碼應用，提交敏感數(shù)據(jù)的地方也有類似應用，故單獨分類，并進一步詳情說明。

1 驗證碼暴力破解測試

a) 使用burp對特定的驗證碼進行暴力破解

b) 案例：http://www.wooyun.org/bugs/wooyun-2015-093932

2 驗證碼時間、次數(shù)測試

a) 抓取攜帶驗證碼的數(shù)據(jù)包不斷重復提交，例如：在投訴建議處輸入要投訴的內容信息，及驗證碼參數(shù)，此時抓包重復提交數(shù)據(jù)包，查看歷史投訴中是否存在重復提交的參數(shù)信息。

b) 案例：

3 驗證碼客戶端回顯測試

a 當客戶端有需要和服務器進行交互，發(fā)送驗證碼時，即可使用firefox按F12調出firebug就可看到客戶端與服務器進行交互的詳細信息

4 驗證碼繞過測試

a) 當?shù)谝徊较虻诙�步跳轉時，抓取數(shù)據(jù)包，對驗證碼進行篡改清空測試，驗證該步驟驗證碼是否可以繞過。

b) 案例：http://www.wooyun.org/bugs/wooyun-2015-098765

5 驗證碼js繞過

a) 短信驗證碼驗證程序邏輯存在缺陷，業(yè)務流程的第一步、第二部、第三步都是放在同一個頁面里，驗證第一步驗證碼是通過js來判斷的，可以修改驗證碼在沒有獲取驗證碼的情況下可以填寫實名信息，并且提交成功。

0x07 業(yè)務授權安全

1 未授權訪問

a) 非授權訪問是指用戶在沒有通過認證授權的情況下能夠直接訪問需要通過認證才能訪問到的頁面或文本信息。可以嘗試在登錄某網站前臺或后臺之后，將相關的頁面鏈接復制于其他瀏覽器或其他電腦上進行訪問，看是否能訪問成功。

2 越權訪問

越權漏洞的成因主要是因為開發(fā)人員在對數(shù)據(jù)進行增、刪、改、查詢時對客戶端請求的數(shù)據(jù)過分相信而遺漏了權限的判定

a) 垂直越權（垂直越權是指使用權限低的用戶可以訪問權限較高的用戶）

b) 水平越權（水平越權是指相同權限的不同用戶可以互相訪問）（wooyun-2010-0100991 PHPEMS多處存在水平權限問題）

c) 《我的越權之道》URL：http://drops.wooyun.org/tips/727

0x08 業(yè)務流程亂序

1 順序執(zhí)行缺陷

a) 部分網站邏輯可能是先A過程后B過程然后C過程最后D過程

b) 用戶控制著他們給應用程序發(fā)送的每一個請求，因此能夠按照任何順序進行訪問。于是，用戶就從B直接進入了D過程，就繞過了C。如果C是支付過程，那么用戶就繞過了支付過程而買到了一件商品。如果C是驗證過程，就會繞過驗證直接進入網站程序了。

c) 案例：

http://www.wooyun.org/bugs/wooyun-2014-047677

http://wooyun.org/bugs/wooyun-2010-0108184

0x09 業(yè)務接口調用安全

1 重放攻擊

在短信、郵件調用業(yè)務或生成業(yè)務數(shù)據(jù)環(huán)節(jié)中（類：短信驗證碼，郵件驗證碼，訂單生成，評論提交等），對其業(yè)務環(huán)節(jié)進行調用（重放）測試。如果業(yè)務經過調用（重放）后被多次生成有效的業(yè)務或數(shù)據(jù)結果

a) 惡意注冊

b) 短信炸彈

在測試的過程中，我們發(fā)現(xiàn)眾多的金融交易平臺僅在前端通過JS校驗時間來控制短信發(fā)送按鈕，但后臺并未對發(fā)送做任何限制，導致可通過重放包的方式大量發(fā)送惡意短信

案例：http://www.wooyun.org/bugs/wooyun-2010-094545

2 內容編輯

類似案例如下：

點擊“獲取短信驗證碼”，并抓取數(shù)據(jù)包內容，如下圖。通過分析數(shù)據(jù)包，可以發(fā)現(xiàn)參數(shù)sendData/insrotxt的內容有客戶端控制，可以修改為攻擊者想要發(fā)送的內容


將內容修改“恭喜你獲得由xx銀行所提供的iphone6一部，請登錄http://www.xxx.com領取，驗證碼為236694”并發(fā)送該數(shù)據(jù)包，手機可收到修改后的短信內容，如下圖：



0x10 時效繞過測試

大多有利用的案例發(fā)生在驗證碼以及業(yè)務數(shù)據(jù)的時效范圍上，在之前的總結也有人將12306的作為典型，故，單獨分類。

1 時間刷新缺陷

12306網站的買票業(yè)務是每隔5s，票會刷新一次。但是這個時間確實在本地設置的間隔。于是，在控制臺就可以將這個時間的關聯(lián)變量重新設置成1s或者更小，這樣刷新的時間就會大幅度縮短（主要更改autoSearchTime本地參數(shù)）。 案例：

http://www.wooyun.org/bugs/wooyun-2014-048391

2 時間范圍測試

針對某些帶有時間限制的業(yè)務，修改其時間限制范圍，例如在某項時間限制范圍內查詢的業(yè)務，修改含有時間明文字段的請求并提交，查看能否繞過時間限制完成業(yè)務流程。例如通過更改查詢手機網廳的受理記錄的month范圍，可以突破默認只能查詢六個月的記錄。

0x11 參考

@eversec

應用程序邏輯錯誤總結 http://drops.wooyun.org/papers/1418

密碼找回功能可能存在的問題 http://drops.wooyun.org/papers/287

密碼找回功能可能存在的問題（補充） http://drops.wooyun.org/web/3295

密碼找回邏輯漏洞總結 http://drops.wooyun.org/web/5048

支付漏洞的三種常見類型——加固方案 http://zone.wooyun.org/content/878

在線支付邏輯漏洞總結 http://drops.wooyun.org/papers/345

金融行業(yè)平臺常見安全漏洞與防御 http://www.freebuf.com/news/special/61082.html

我的越權之道 http://drops.wooyun.org/tips/727

安全科普：看視頻理解Web應用安全漏洞TOP10（IBM內部視頻） http://www.freebuf.com/vuls/63426.html

花未開

深夜頂一下樓主

annoybird

yoooooooooooooooooooooooo

楊小沫