原文地址：點擊跳轉

侵權刪

今天給大家分享一下邏輯漏洞的挖掘方法侥啤，現(xiàn)在越來越多的網(wǎng)站当叭，尤其是大一點的，由于白帽子的蜂擁而至盖灸，大量的明顯漏洞已經(jīng)被修復的差不多了蚁鳖，只有零碎被初來乍到的白帽子挖了出來，大多都是些反射跨站赁炎、少量信息泄露等醉箕、雖然這種漏洞沒多分，但是還是覺得沒白挖徙垫，畢竟確認了讥裤。

????邏輯漏洞成為了眾多白帽子的新目標，莫名的邏輯漏洞這個方向成為了白帽子的方向姻报，挖這類漏洞很多白帽子覺得無從下手己英，有可能是經(jīng)驗還不是很多，不過沒關系吴旋，繼續(xù)堅持挖一下看看损肛。

????記得我第一個嚴重的漏洞就是一個邏輯類漏洞《網(wǎng)易任意郵箱密碼重置漏洞》，說起這個漏洞荣瑟，就覺得莫名的興奮治拿，因為這個漏洞是我不經(jīng)意發(fā)現(xiàn)的，因為當時我經(jīng)常使用網(wǎng)易郵箱笆焰，在注冊賬號的時候劫谅，突然跳出一個鏈接，讓我綁定手機號，這時候我注意到同波，好想上面URL中包含了我的郵箱地址鳄梅，潛在的心理意識告訴我試著改改郵箱地址叠国，然后輸入自己的手機號看看能不能正常接收短信未檩，小手就這么一點，叮粟焊！短信來了冤狡！輸入短信后成功跳轉到我想要綁定的郵箱中，這時候我意識一個涉及到行業(yè)的漏洞來了项棠，心里又興奮又激動又擔心又著急悲雳，擔心的是怕這個漏洞被惡意利用，著急的事我那會并不認識網(wǎng)易內部做安全的香追，沒辦法聯(lián)系到合瓢，嘗試著網(wǎng)上找然而并沒有什么卵用，后來在朋友的介紹下把漏洞提交到了WooYun漏洞平臺透典，很慶幸晴楔，這個漏洞在漏洞提交的當天晚上就被緊急修復了，同時我也認識了網(wǎng)易Src做安全的朋友峭咒。

????為什么我說是一個行業(yè)漏洞呢税弃，因為當時國內郵箱使用網(wǎng)易郵箱是最多的，網(wǎng)易公布2012年郵箱用戶破5.3億凑队，也就意味著各大網(wǎng)站则果、各大電商、包括網(wǎng)易自己的各種業(yè)務也遭受了影響漩氨，這個漏洞可以直接重置網(wǎng)易各種郵箱密碼（包括企業(yè)郵箱西壮、188、126叫惊、163等）款青，通過密碼找回間接重置各大網(wǎng)站密碼等，危害還是相當大的赋访。

????這個漏洞從百度搜WooYun莫名找到我的人還挺多的可都，因為當時為了找到網(wǎng)易做安全的朋友我在上面留了我的QQ號等信息，其中有個人說他買的30萬手機卡作廢了蚓耽，說我把漏洞提交了渠牲。

????為此我收到了網(wǎng)易寄來的禮物，雖然不貴重步悠，但是我還是心理挺高興的签杈，畢竟漏洞被修復了，做出了我的貢獻。

????網(wǎng)易郵箱密碼重置漏洞URL答姥，大家可以自行參觀铣除，不用謝，不客氣鹦付。 http://www.secbug.cn/bugs/wooyun-2012-08307.html

????邏輯漏洞挖掘經(jīng)驗我總結了以下幾點：

????1尚粘、打開網(wǎng)站，先觀察敲长，先了解網(wǎng)站的各種功能郎嫁，知彼知己，方而漏洞多多祈噪。

????2泽铛、初步試著先使用這些功能，如果你使用瀏覽器辑鲤，記得把審核元素打開盔腔，小心認真的觀察點擊功能點的時候網(wǎng)絡中的各種請求，注意POST數(shù)據(jù)月褥，因為它提交的數(shù)據(jù)是隱藏的弛随，沒那么直觀，所以這個時候要小心吓坚，說不好一不小心你也可以挖到一個大漏洞撵幽。

????3、當你初步認識到功能點之后礁击，你就可以進行下一步了盐杂，使用BURP抓包，試著將其中的數(shù)據(jù)在BURP中重放哆窿，如果發(fā)現(xiàn)重放數(shù)據(jù)返回的包中有敏感信息的話链烈，可以進一步修改其中的值進行重放，我一般進行的是加1減1操作（意思就是將其中的數(shù)值減1或者加1）看是否可以獲取不同的信息挚躯，如果獲取的信息不相同强衡，且信息比較敏感，這就意味著你有可能找到一個邏輯漏洞了码荔。

????補充：不一定每個數(shù)據(jù)都要重放漩勤，可以指定某個重要請求數(shù)據(jù)進行重放。

????4缩搅、不要覺得JS不重要越败，有時候里面也暗藏寶藏，有的很多比較敏感或隱蔽的網(wǎng)站都在里面硼瓣。這類信息究飞，會讓你找到其他你找不到的網(wǎng)站系統(tǒng)。一般比較隱蔽的系統(tǒng)存在的邏輯漏洞也是很多的。有的時候看JS邏輯結構就知道有沒有邏輯漏洞亿傅。

????比如會出現(xiàn)這樣的信息：

????5媒峡、重點將邏輯漏洞挖掘放在重要區(qū)域，比如：個人信息區(qū)域葵擎、密碼修改區(qū)域谅阿、密碼忘記區(qū)域、支付區(qū)域坪蚁、手機號區(qū)域等奔穿。這幾個區(qū)域一般都是嚴重高危漏洞的始發(fā)點镜沽，任何一個地方出問題敏晤，都有可能造成企業(yè)、用戶損失缅茉。

????6嘴脾、別害怕驗證碼，有的白帽子遇到驗證碼就退縮了蔬墩，其實不然译打，有的驗證碼是給人看的，只是防止用戶手工輸入的拇颅，然而并不防止重放請求來暴力破解奏司，有的驗證碼是給服務器看的，當驗證碼沒有一個完整的服務請求時樟插，驗證碼是不會改變的韵洋，這個時候我們也可以用來進行暴力破解，還有一種是第一次請求包驗證了驗證碼是否正確黄锤，第二次請求就不需要驗證了搪缨，知道接口的話就可以直接進行破解了，利用成功的話鸵熟，這個地方也會出現(xiàn)驚人的發(fā)現(xiàn)副编，例如：敏感信息泄露等。

????7流强、加簽名痹届，加TOKEN等方法，看著好像挺安全打月，其實也會出現(xiàn)問題队腐，當?shù)谝淮斡龅竭@種請求中帶簽名，帶TOKEN的時候僵控，就可以思考一下香到，在重點功能處是否可以使用BURP修改替換原先值，生成一種新簽名，新TOKEN的請求數(shù)據(jù)悠就，然后在BURP中進行重放千绪，看是否成功來繞過加簽名、加TOKEN等方法梗脾，成功了就意味著寶藏來了荸型。

????8、手機短信炸茧，大多白帽子遇到手機驗證碼是4位的時候瑞妇，都覺得挺高興，覺得這個地方可以破解重置啥的梭冠，其實有時候越到6位的時候也不用害怕辕狰，因為這個地方也會出現(xiàn)問題。

????例如：

????第一種是發(fā)送短信請求數(shù)據(jù)響應中自動包含驗證碼控漠；

????第三種發(fā)送驗證碼的手機號可控蔓倍，比如密碼重置發(fā)給別人驗證碼也可以重置你的密碼，服務器只判斷手機對應的驗證碼是否正確盐捷，不判斷是不是你的手機號偶翅。

????第四種驗證碼發(fā)送可控，想往你手機號發(fā)啥驗證碼就可以發(fā)啥驗證碼碉渡；

????第五種驗證碼概率學問題聚谁，你收到過111111、111112滞诺、111122等這樣的驗證碼嗎形导，那么我們寫腳本去除這類驗證碼還能剩多少呢？這樣可以增加我們破解成功的幾率铭段。

????9骤宣、注冊頁面、密碼找回序愚、個人信息頁面等都有可能存在邏輯漏洞憔披，

????例如：

????我們填寫完第一步后可以直接跳轉入注冊的最后一步，中間的必填項就可以被繞過爸吮；

????我們密碼找回在第一步填入用戶信息后可以直接跳轉入密碼重置頁面重置用戶帳號芬膝；

????在個人信息處改變用戶ID值直接查看其他用戶信息等。

????總結一下：

????一句話形娇，沒有你做不到锰霜，只有想不到，到處都是洞桐早，放手一搏癣缅。