标签：修改 上传 验证码 漏洞 密码 手记 参数 数据包 越权

---

title: 逻辑漏洞与越权手记
copyright: true
top: 0
date: 2019-09-01 07:49:52
tags: 逻辑漏洞
categories: 渗透测试
permalink:
password:
keywords:
description: 记录一些逻辑漏洞与越权的姿势笔记

打开这扇门你就会进入新的世界，但那样你就再也回不去了……你每做出一个新的选择，其他选项就消失了。自始至终，你都只有一条路走

最近在看逻辑漏洞与越权相关书籍，记录一些常用的方法，每次检测的时候按照不同业务类型一个一个的去测试。

业务处

注册

可能存在漏洞：

1. 任意用户注册
2. 短信轰炸/验证码安全问题/密码爆破
3. 批量注册用户
4. 枚举用户名/进行爆破
5. SQL注入/存储型XSS

登陆

1. 短信轰炸/验证码安全问题/密码爆破
2. SQL注入
3. 可被撞库
4. 空密码绕过/抓包把password字段修改成空值发送
5. 认证凭证替换/比如返回的数据包中包含账号，修改账号就能登陆其他账号
6. 权限绕过/Cookie仿冒
7. 第三方登陆，可以修改返回包的相关数据，可能会登陆到其他的用户

密码找回

1. 短信邮箱轰炸/短信邮箱劫持
2. 重置任意用户密码/验证码手机用户未统一验证
3. 批量重置用户密码
4. 新密码劫持/直接跳过验证步骤
5. 本地验证，修改返回值

购买支付/充值

1. 交易金额/数量修改，交易金额不一定非要0.01，有时候1.00也行
2. 交易信息订单编码/导致信息泄露
3. 整数溢出，int最大值为2147483647，超过最大值
4. 修改充值账户
5. 请求重放多次下单，高并发操作
6. 如果返回当参数中有一些奇怪的参数，可以把这个而参数添加到请求包中然后重发

抽奖活动

1. 抽奖作弊
2. 刷奖品/积分
3. 高并发点击，在签到，转账，兑换，购买业务可以试一试

优惠券/代金券

1. 刷优惠券/代金券
2. 修改优惠券金额/数量

运费

1. 修改运费金额

订单信息

1. 订单信息遍历/泄露
2. 订单信息泄露导致用户信息泄露
3. 删除他人订单

会员系统

1. 修改个人信息上传文件，上传带弹窗的html
2. 如遇上上传xlsx/docx，可能存在xxe，上传恶意的文档盲测
3. 图片上传也可能遇到imagereagick命令执行，上传恶意图片
4. 视频上传如果使用ffmpeg<3.2.4(视频按帧分割成图片),上传恶意avi盲测ssrf
5. 用户横向越权访问/遍历/导致用户信息泄露
6. SQL注入/个人简介处存储XSS

传输过程

1. 明文传输账号密码
2. 修改信息处无session/token导致csrf
3. POST/COOKIE注入

评论

1. POST注入/存储XSS
2. 无session/token导致CSRF

漏洞处

验证码问题

1. 万能验证码0000，8888，1234
2. 返回包中存在验证码
3. 删除验证码或者cookie中的值可以爆破账号密码

短信轰炸

1. 重放数据包
2. 删除修改cookie，或者检测数据包是否有相关参数，直接删除或者修改，然后重放数据包
3. 手机号前面加 +86，或者手机号后面加空格之类的，然后重发数据包
4. 请求参数修改大小写，或者添加请求参数比如&id=1
5. 一个站的登陆处可能做了防护，但是再找回密码处可能没有安全防护，或者在注册流程中没有安全防护，所以说多测试接口
6. 如果存在批量注册用户的话，每个用户可以发送短信5次，也能实现批量轰炸

水平越权

1. 主要登陆后还是修改参数，主要找到多个接口不断测试
2. 关注网页源代码，有时候会有表单，但是被bidden(隐藏标签)给隐藏起来了，可以修改返回包然后尝试获取数据检测
3. 多个账号，主要分析请求参数

数据泄露

1. 在找回密码处，填写数据后抓包查看返回信息，有可能存在敏感数据返回

任意用户密码重置

1. 目前大部分都是在修改密码处参数修改，将用户名的参数修改成其他用户名
2. 有些是通过前端验证，使用bp修改返回数据包，如何才能知道正确的数据包是怎么样的？直接试一试不就知道了- -
   欢迎关注公众号：【安全研发】获取更多相关工具，课程，资料分享哦~

标签：修改,上传,验证码,漏洞,密码,手记,参数,数据包,越权
来源： https://blog.csdn.net/lzy98/article/details/114001764

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。