ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

业务逻辑漏洞

2022-01-17 14:33:26  阅读:164  来源: 互联网

标签:逻辑 用户名 用户 修改 验证码 业务 漏洞 session id


身份认证安全

绕过身份认证的几种方法

暴力破解

  • 测试方法∶在没有验证码限制或者一次验证码可以多次使用的地方,可以分为以下几种情况︰
    (1)爆破用户名。当输入的用户名不存在时,会显示请输入正确用户名,或者用户名不存在
    (2)已知用户名。比如:已知用户名为admin,密码可以进行字典爆破
    (3)使用一个常用密码。比如123456对大量用户进行爆破
  • 修复方法∶
    (1)增加验证码。登录失败的时候,变换验证码。(验证码不能被工具识别)
    (2)限制登录频率。例如,5分钟内登录失败次数超过10次则锁定账号1小时。
    (3)二次验证。可以添加手机验证码或邮箱验证码。

撞库

  • 收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站。很多用户在不同网站使用的是相同的账密

cookie和session类

Cookie和Session的概念

  • Cookie:指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密),我们俗称为浏览器缓存
  • Session:在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。当用户在应用程序的Web页之间跳转时,存储在Session对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的Web页时,如果该用户还没有会话,则Web服务器将自动创建一个Session对象,与Cookie有一定相同之处。

cookie伪造:通过修改cookie参数来实现登录其他用户
session会话固定攻击:诱骗受害者使用攻击者指定的会话标识(session id)1.重置目标session id,然后想办法使用户携带攻击者设定的session id登录站点,此session id就合法了(其实还不如找xss,找不到就算了,叼方法)

加密测试

  • 成因:有些网站在前端加密,然后传到后台直接和数据库里的值做对比,这时抓包就知道其加密方式,然后做暴力破解
  • 修复:把加密对比放到后台执行

数据篡改

  • 商品编号篡改:提交订单时,抓包修改商品标号,导致商品与价格不符却交易成功
  • 邮件和用户名修改:抓包修改用户名和邮箱为其他用户或邮箱
  • 注册普通账号,修改遍历订单id,获取其他用户订单详情(平行越权)
  • 手机号修改:抓包修改手机号码,之后进行越权判断,进入其他人的页面进行操作
  • 用户ID篡改:抓包查看用户的id,修改id查看其他用户id信息(与sql不同,不是在代码上过滤的错误)
  • 订单金额修改
  • 负数数量或单价刷分
  • 本地JS参数修改:部分应用程序用javascript处理用户提交的请求,通过修改javascript脚本,测试修改后的数据是否影响用户
  • 最大数限制突破:前端js修改

以上的修复都可以利用其关键参数判断和其session是否一致

业务授权安全

  • 检测手段:查看所有敏感涉及到账户的操作是否有除了UID之外的验证方式
  • 发生越权行为的修复:涉及用户信息的操作要验证用户身份,敏感操作需二次验证

任意密码修改

用户凭证暴力破解

  • 找回密码的验证码为四到六位,并且服务端没有加以限制,可以爆破验证码
  • 修复:增加验证码复杂性,限制请求次数

跳过验证步骤

  • 正常流程下,密码找回,查看最后设置新密码页面的URL,记录下来。继续返回密码找回处,输入其他用户名,提交找回申请,直接访问上面记录下的修改密码页面,成功修改密码
  • 正常流程下,修改密码页面抓包,修改其中的USERNAME_COOKIE为其他用户(有可能会经过编码,比如 base64 ) ,提交即可修改其他用户密码,如果抓包其中有step参数,可以修改这个参数为最后一步(比如:5),提交便可略过之前的步骤

工具:PKAV识别较标准的图片验证码爆破

接口

接口也叫api,称为 应用程序编程接口 ,是一些预先定义的函数
提供开发人员无需访问源码即可获得访问一组例程的能力

重放攻击

利用接口漏洞进行短信轰炸,bp对手机号批量进行爆破

没什么技术含量,别骂我,我就水这一篇

标签:逻辑,用户名,用户,修改,验证码,业务,漏洞,session,id
来源: https://blog.csdn.net/qq_51796436/article/details/122512509

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有