0x01身份認(rèn)證安全

1暴力破解

在沒(méi)有驗(yàn)證碼限制或者一次驗(yàn)證碼可以多次使用的地方曙博，使用已知用戶對(duì)密碼進(jìn)行暴力破解或者用一個(gè)通用密碼對(duì)用戶進(jìn)行暴力破解瘤载。

簡(jiǎn)單的驗(yàn)證碼爆破信夫。URL:

http://zone.wooyun.org/content/20839

一些工具及腳本

Burpsuite

htpwdScan撞庫(kù)爆破必備URL:

https://github.com/lijiejie/htpwdScan

hydra源碼安裝xhydra支持更多的協(xié)議去爆破(可破WEB扁位，其他協(xié)議不屬于業(yè)務(wù)安全的范疇)

2

session & cookie類(lèi)

會(huì)話固定攻擊：利用服務(wù)器的session不變機(jī)制塞栅，借他人之手獲得認(rèn)證和授權(quán)者铜，冒充他人。案例：WooYun:新浪廣東美食后臺(tái)驗(yàn)證邏輯漏洞放椰，直接登錄后臺(tái)作烟，566764名用戶資料暴露！

Cookie仿冒：修改cookie中的某個(gè)參數(shù)可以登錄其他用戶砾医。

案例：益云廣告平臺(tái)任意帳號(hào)登錄WooYun:益云廣告平臺(tái)任意帳號(hào)登錄

3弱加密

未使用https拿撩，是功能測(cè)試點(diǎn)，不好利用如蚜。

前端加密压恒，用密文去后臺(tái)校驗(yàn)影暴，并利用smart

decode可解

0x02業(yè)務(wù)一致性安全

1手機(jī)號(hào)篡改

a)抓包修改手機(jī)號(hào)碼參數(shù)為其他號(hào)碼嘗試，例如在辦理查詢頁(yè)面探赫，輸入自己的號(hào)碼然后抓包型宙，修改手機(jī)號(hào)碼參數(shù)為其他人號(hào)碼，查看是否能查詢其他人的業(yè)務(wù)期吓。

2郵箱或者用戶篡改

a)抓包修改用戶或者郵箱參數(shù)為其他用戶或者郵箱

b)案例：WooYun:綠盟RSAS安全系統(tǒng)全版本通殺權(quán)限管理員繞過(guò)漏洞早歇，包括最新RSAS

V5.0.13.2

3訂單id篡改

a)查看自己的訂單id，然后修改id（加減一）查看是否能查看其它訂單信息讨勤。

b)案例：WooYun:廣之旅旅行社任意訪問(wèn)用戶訂單

4商品編號(hào)篡改

a)例如積分兌換處箭跳，100個(gè)積分只能換商品編號(hào)為001,1000個(gè)積分只能換商品編號(hào)005，在100積分換商品的時(shí)候抓包把換商品的編號(hào)修改為005潭千，用低積分換區(qū)高積分商品谱姓。

b)案例：聯(lián)想某積分商城支付漏洞再繞過(guò)WooYun:聯(lián)想某積分商城支付漏洞再繞過(guò)

5用戶id篡改

a)抓包查看自己的用戶id，然后修改id（加減1）查看是否能查看其它用戶id信息刨晴。

b)案例：WooYun:拉勾網(wǎng)百萬(wàn)簡(jiǎn)歷泄漏風(fēng)險(xiǎn)(包括手機(jī)屉来、郵件、應(yīng)聘職位等信息狈癞、還可冒充企業(yè)身份篩選簡(jiǎn)歷茄靠、發(fā)面試通知等)

0x03業(yè)務(wù)數(shù)據(jù)篡改

1金額數(shù)據(jù)篡改

a)抓包修改金額等字段，例如在支付頁(yè)面抓取請(qǐng)求中商品的金額字段蝶桶，修改成任意數(shù)額的金額并提交慨绳，查看能否以修改后的金額數(shù)據(jù)完成業(yè)務(wù)流程。b)案例：WooYun:

12308訂單支付時(shí)的總價(jià)未驗(yàn)證漏洞(支付邏輯漏洞)

2商品數(shù)量篡改

a)抓包修改商品數(shù)量等字段真竖，將請(qǐng)求中的商品數(shù)量修改成任意數(shù)額脐雪，如負(fù)數(shù)并提交，查看能否以修改后的數(shù)量完成業(yè)務(wù)流程恢共。b)案例：WooYun:蔚藍(lán)團(tuán)支付邏輯漏洞(可負(fù)數(shù)支付)

3最大數(shù)限制突破

a)很多商品限制用戶購(gòu)買(mǎi)數(shù)量時(shí)战秋，服務(wù)器僅在頁(yè)面通過(guò)js腳本限制，未在服務(wù)器端校驗(yàn)用戶提交的數(shù)量讨韭，通過(guò)抓包修改商品最大數(shù)限制脂信，將請(qǐng)求中的商品數(shù)量改為大于最大數(shù)限制的值，查看能否以修改后的數(shù)量完成業(yè)務(wù)流程透硝。

4本地js參數(shù)修改

a)部分應(yīng)用程序通過(guò)Javascript處理用戶提交的請(qǐng)求吉嚣，通過(guò)修改Javascript腳本，測(cè)試修改后的數(shù)據(jù)是否影響到用戶蹬铺。

0x04用戶輸入合規(guī)性

1注入測(cè)試

請(qǐng)參考http://wiki.wooyun.org/web:sql

2

XSS測(cè)試

請(qǐng)參考http://wiki.wooyun.org/web:xss

3

Fuzz

a)功能測(cè)試用的多一些，有可能一個(gè)超長(zhǎng)特殊字符串導(dǎo)致系統(tǒng)拒絕服務(wù)或者功能缺失秉撇。（當(dāng)然fuzz不單單這點(diǎn)用途甜攀。）

b)不太符合的案例秋泄，但思路可借鑒：WooYun:建站之星模糊測(cè)試實(shí)戰(zhàn)之任意文件上傳漏洞

c)可能會(huì)用的工具

——spike

4其他用用戶輸入交互的應(yīng)用漏洞

0x05密碼找回漏洞

1大力推薦BMa的《密碼找回邏輯漏洞總結(jié)》

http://drops.wooyun.org/web/5048

a)密碼找回邏輯測(cè)試一般流程

i.首先嘗試正常密碼找回流程，選擇不同找回方式规阀，記錄所有數(shù)據(jù)包

ii.分析數(shù)據(jù)包恒序，找到敏感部分

iii.分析后臺(tái)找回機(jī)制所采用的驗(yàn)證手段

iv.修改數(shù)據(jù)包驗(yàn)證推測(cè)

b)腦圖

（詳情請(qǐng)參考BMa的《密碼找回邏輯漏洞總結(jié)》）

0x06驗(yàn)證碼突破

驗(yàn)證碼不單單在登錄、找密碼應(yīng)用谁撼，提交敏感數(shù)據(jù)的地方也有類(lèi)似應(yīng)用歧胁，故單獨(dú)分類(lèi)，并進(jìn)一步詳情說(shuō)明厉碟。

1驗(yàn)證碼暴力破解測(cè)試

a)使用burp對(duì)特定的驗(yàn)證碼進(jìn)行暴力破解

b)案例：WooYun:盟友88電商平臺(tái)任意用戶注冊(cè)與任意用戶密碼重置漏洞打包

2驗(yàn)證碼時(shí)間喊巍、次數(shù)測(cè)試

a)抓取攜帶驗(yàn)證碼的數(shù)據(jù)包不斷重復(fù)提交，例如：在投訴建議處輸入要投訴的內(nèi)容信息箍鼓，及驗(yàn)證碼參數(shù)崭参，此時(shí)抓包重復(fù)提交數(shù)據(jù)包，查看歷史投訴中是否存在重復(fù)提交的參數(shù)信息款咖。

b)案例：

3驗(yàn)證碼客戶端回顯測(cè)試

a當(dāng)客戶端有需要和服務(wù)器進(jìn)行交互何暮，發(fā)送驗(yàn)證碼時(shí)，即可使用firefox按F12調(diào)出firebug就可看到客戶端與服務(wù)器進(jìn)行交互的詳細(xì)信息

4驗(yàn)證碼繞過(guò)測(cè)試

a)當(dāng)?shù)谝徊较虻诙教D(zhuǎn)時(shí)铐殃，抓取數(shù)據(jù)包海洼，對(duì)驗(yàn)證碼進(jìn)行篡改清空測(cè)試，驗(yàn)證該步驟驗(yàn)證碼是否可以繞過(guò)富腊。

b)案例：WooYun:中國(guó)電信某IDC機(jī)房信息安全管理系統(tǒng)設(shè)計(jì)缺陷致使系統(tǒng)淪陷

5驗(yàn)證碼js繞過(guò)

a)短信驗(yàn)證碼驗(yàn)證程序邏輯存在缺陷坏逢，業(yè)務(wù)流程的第一步、第二部蟹肘、第三步都是放在同一個(gè)頁(yè)面里词疼，驗(yàn)證第一步驗(yàn)證碼是通過(guò)js來(lái)判斷的，可以修改驗(yàn)證碼在沒(méi)有獲取驗(yàn)證碼的情況下可以填寫(xiě)實(shí)名信息帘腹，并且提交成功贰盗。

0x07業(yè)務(wù)授權(quán)安全

1未授權(quán)訪問(wèn)

a)非授權(quán)訪問(wèn)是指用戶在沒(méi)有通過(guò)認(rèn)證授權(quán)的情況下能夠直接訪問(wèn)需要通過(guò)認(rèn)證才能訪問(wèn)到的頁(yè)面或文本信息⊙粲可以嘗試在登錄某網(wǎng)站前臺(tái)或后臺(tái)之后舵盈，將相關(guān)的頁(yè)面鏈接復(fù)制于其他瀏覽器或其他電腦上進(jìn)行訪問(wèn)，看是否能訪問(wèn)成功球化。

2越權(quán)訪問(wèn)

越權(quán)漏洞的成因主要是因?yàn)殚_(kāi)發(fā)人員在對(duì)數(shù)據(jù)進(jìn)行增秽晚、刪、改筒愚、查詢時(shí)對(duì)客戶端請(qǐng)求的數(shù)據(jù)過(guò)分相信而遺漏了權(quán)限的判定

a)垂直越權(quán)（垂直越權(quán)是指使用權(quán)限低的用戶可以訪問(wèn)權(quán)限較高的用戶）

b)水平越權(quán)（水平越權(quán)是指相同權(quán)限的不同用戶可以互相訪問(wèn)）（wooyun-2010-0100991

PHPEMS多處存在水平權(quán)限問(wèn)題）

c)《我的越權(quán)之道》URL：http://drops.wooyun.org/tips/727

0x08業(yè)務(wù)流程亂序

1順序執(zhí)行缺陷

a)部分網(wǎng)站邏輯可能是先A過(guò)程后B過(guò)程然后C過(guò)程最后D過(guò)程

b)用戶控制著他們給應(yīng)用程序發(fā)送的每一個(gè)請(qǐng)求赴蝇，因此能夠按照任何順序進(jìn)行訪問(wèn)。于是巢掺，用戶就從B直接進(jìn)入了D過(guò)程句伶，就繞過(guò)了C劲蜻。如果C是支付過(guò)程，那么用戶就繞過(guò)了支付過(guò)程而買(mǎi)到了一件商品考余。如果C是驗(yàn)證過(guò)程先嬉，就會(huì)繞過(guò)驗(yàn)證直接進(jìn)入網(wǎng)站程序了。

c)案例：

WooYun:萬(wàn)達(dá)某分站邏輯錯(cuò)誤可繞過(guò)支付直接獲得取票密碼

http://wooyun.org/bugs/wooyun-2010-0108184

0x09業(yè)務(wù)接口調(diào)用安全

1重放攻擊

在短信楚堤、郵件調(diào)用業(yè)務(wù)或生成業(yè)務(wù)數(shù)據(jù)環(huán)節(jié)中（類(lèi)：短信驗(yàn)證碼疫蔓，郵件驗(yàn)證碼，訂單生成身冬，評(píng)論提交等）衅胀，對(duì)其業(yè)務(wù)環(huán)節(jié)進(jìn)行調(diào)用（重放）測(cè)試。如果業(yè)務(wù)經(jīng)過(guò)調(diào)用（重放）后被多次生成有效的業(yè)務(wù)或數(shù)據(jù)結(jié)果

a)惡意注冊(cè)

b)短信炸彈

在測(cè)試的過(guò)程中吏恭，我們發(fā)現(xiàn)眾多的金融交易平臺(tái)僅在前端通過(guò)JS校驗(yàn)時(shí)間來(lái)控制短信發(fā)送按鈕拗小，但后臺(tái)并未對(duì)發(fā)送做任何限制，導(dǎo)致可通過(guò)重放包的方式大量發(fā)送惡意短信

案例：WooYun:一畝田交易網(wǎng)邏輯漏洞（木桶原理）

2內(nèi)容編輯

類(lèi)似案例如下：

點(diǎn)擊“獲取短信驗(yàn)證碼”樱哼，并抓取數(shù)據(jù)包內(nèi)容哀九，如下圖。通過(guò)分析數(shù)據(jù)包搅幅，可以發(fā)現(xiàn)參數(shù)sendData/insrotxt的內(nèi)容有客戶端控制阅束，可以修改為攻擊者想要發(fā)送的內(nèi)容

將內(nèi)容修改“恭喜你獲得由xx銀行所提供的iphone6一部，請(qǐng)登錄http://www.xxx.com領(lǐng)取茄唐，驗(yàn)證碼為236694”并發(fā)送該數(shù)據(jù)包息裸，手機(jī)可收到修改后的短信內(nèi)容，如下圖：

0x10時(shí)效繞過(guò)測(cè)試

大多有利用的案例發(fā)生在驗(yàn)證碼以及業(yè)務(wù)數(shù)據(jù)的時(shí)效范圍上沪编，在之前的總結(jié)也有人將12306的作為典型呼盆，故，單獨(dú)分類(lèi)蚁廓。

1時(shí)間刷新缺陷

12306網(wǎng)站的買(mǎi)票業(yè)務(wù)是每隔5s访圃，票會(huì)刷新一次。但是這個(gè)時(shí)間確實(shí)在本地設(shè)置的間隔相嵌。于是腿时，在控制臺(tái)就可以將這個(gè)時(shí)間的關(guān)聯(lián)變量重新設(shè)置成1s或者更小，這樣刷新的時(shí)間就會(huì)大幅度縮短（主要更改autoSearchTime本地參數(shù)）饭宾。

案例：

WooYun:

12306自動(dòng)刷票時(shí)間可更改漏洞

2時(shí)間范圍測(cè)試

針對(duì)某些帶有時(shí)間限制的業(yè)務(wù)批糟，修改其時(shí)間限制范圍，例如在某項(xiàng)時(shí)間限制范圍內(nèi)查詢的業(yè)務(wù)看铆，修改含有時(shí)間明文字段的請(qǐng)求并提交徽鼎，查看能否繞過(guò)時(shí)間限制完成業(yè)務(wù)流程。例如通過(guò)更改查詢手機(jī)網(wǎng)廳的受理記錄的month范圍，可以突破默認(rèn)只能查詢六個(gè)月的記錄纬傲。

0x11參考

@eversec

應(yīng)用程序邏輯錯(cuò)誤總結(jié)http://drops.wooyun.org/papers/1418

密碼找回功能可能存在的問(wèn)題http://drops.wooyun.org/papers/287

密碼找回功能可能存在的問(wèn)題（補(bǔ)充）http://drops.wooyun.org/web/3295

密碼找回邏輯漏洞總結(jié)http://drops.wooyun.org/web/5048

支付漏洞的三種常見(jiàn)類(lèi)型——加固方案http://zone.wooyun.org/content/878

在線支付邏輯漏洞總結(jié)http://drops.wooyun.org/papers/345

金融行業(yè)平臺(tái)常見(jiàn)安全漏洞與防御http://www.freebuf.com/news/special/61082.html

我的越權(quán)之道http://drops.wooyun.org/tips/727

安全科普：看視頻理解Web應(yīng)用安全漏洞TOP10（IBM內(nèi)部視頻）http://www.freebuf.com/vuls/63426.html