SRC 常见的逻辑漏洞类型
SRC 漏洞挖掘小见解
SRC 常见的逻辑漏洞类型
0X01 漏洞类型
数据统计列举一下(BAT 的 SRC 和其他几个小众 src 的漏洞类型)
1.xss(反射 存储型 post xss)
2.iis 短文件泄露 3.物理路径泄露(框架没有自定义 404 页或者 php.ini 配置错误)
4.svn 泄露(.svn/entries)
5.phpinfo.php,test.php,test.html 6.目录遍历 site:http://qq.com intitle:index of(google hacking 常见语法)(https://pentest-tools.com/information-gathering/google-hacking#)
7.?href= (url 跳转漏洞)
8.crossdomain.xml 文件的安全问题 9.淘宝产业链(卖账号的,薅羊毛的,以及恶意地址过检测的) 10.权限控制,直接访问后台
11.HTTP HOST 头攻击
12.CRLF 漏洞 13.逻辑漏洞 任意注册(app 注册时验证码可以爆破,和验证码直接在返回包里) 14.任意文件读取 %c0%ae 字符导致的 15.万能密码(admin’’or’=’or) 16.编辑器 ckeditor xss(https://packetstormsecurity.com/ … ath-Disclosure.html) 17.弱口令
18.discuz 物理路径泄露(uc_server/control/admin/db.php)
19.phpmyadmin 万能密码(‘localhost’@‘@”)
20.struts2 漏洞 21.魔图漏洞 (ImageMagick)
22.Java 反序列化漏洞 23.压缩包下载(web.rar)
24.weblogic ssrf 探测目标内网(http://www.tuicool.com/articles/UjaqIbz) 25.威胁情报(跟踪钓鱼团伙)
26.thinkphp 框架配置错误导致日志下载漏洞(https://phpinfo.me/2016/09/09/1351.html) 27.邮件伪造(https://emkei.cz/)
28.el 表达式(参考例子http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0195845.html)) 29.利用 wifi 万能钥匙获取所有 wifi 共享出来的弱密码(物理接触)
30.angularjs xss(http://avlidienbrunn.se/angular.txt) 31.任意文件读取../etc/passwd
32.php 解析漏洞 1.jpg/.php
33.wpscan 对 wordpress 站点的检测,dzscan 对 discuz 站点进行检测
34.Apache tomcat session 操控漏洞 35.注入
36.github,ds_store 泄露(githack,ds_store_exp),(注:此列表有些漏洞确实鸡肋(你不提交怎么知道厂商不收呢),仅做数据分析统计)比如要挖 360src,可以学习别人的思路(关注标题)
0X02 涉及到工具
awvs, appscan, safe3wvs, burpsuite ,k8 struts2 检测工具,Bugscan ,Pkav HTTP Fuzzer 1.5.6,御剑 1.5,IIS_shortname_Scanner,hackbar 插件,Wapplyzer 插件(指纹),Seay-svn 源代码备份漏洞利用工具(其实很多漏洞可以直接做成字典,方便以后针对性的检测,如敏感信息泄露和 svn 泄露,敏感压缩包,包括收集常用的字典撞库,加强效率)
SRC 漏洞挖掘小见解
链接: http://pan.baidu.com/s/1c4BvT8 密码: pdzf 深度测试企业应用安全经验谈 only_guest
个人认为逻辑是 SRC 出现最频繁的也是最容易挖到的漏洞,分类比较多,本文仅分析各种逻辑漏洞
0x01 0 元支付订单
a、使用抓包软件(burpsuite、Fiddler…)抓包,通过分析向服务器传输的数据包,修改支付金额参数来达到欺骗服务器的效果,当然这只是最简单的思路,稍有安全意识此种漏洞几乎不会发生。
b、案例分析:同程机票支付漏洞,
漏洞实例传送门: 此漏洞仅仅是在支付之前抓包,仅通过修改 bxprice 为负数,完成了 2 元巴厘岛旅游,再次膜拜大佬,2000RMB+巴厘岛豪华旅游就此到手。
0x02 越权查看信息
何谓越权?越过自己能够行使的权利来行使其他权利,通俗来讲,看了自己不该看到的东西,做了自己不能做的事。 a、GET 请求可直接修改 URL 参数,POST 请求只能抓包,通过修改限定订单号的参数值,实现任意订单泄漏、开房记录泄漏,当然不一定是订单存在此漏洞,个人信息、账户详情等各种私密信息都可能存在此漏洞。
b、案例分析:酒店催房处的一处越权,
漏洞实例传送门:洞主不愧为老司机,用小号批量请求大号能做的请求,如果请求成功,那不就是越权吗?好像又 GET 到了什么
0x03 越权添加或者删除信息
a、点击添加信息,抓包后更换账号,请求抓取的包数据,若能成功,则存在漏洞;删除信息同样可能存在越权。
b、案例分析:同程机票越权添加卡包,
漏洞实例传送门:添加某项信息->抓取数据包->切换用户->复现数据包->成功操作->漏洞存在
0x04 用户密码重置
a、密码重置的姿势五花八门,不同的程序员可能做出的漏洞实例都不尽相同,说说我曾经遇到过的一些姿势吧:a、密码重置的姿势五花八门,不同的程序员可能做出的漏洞实例都不尽相同,说说我曾经遇到过的一些姿势吧:
- 修改密码的验证码返回到 Web 前端进行验证,也就是点击获取验证码后,验证码返回到网页的某个 hidden 属性的标签中.
- 请求获取修改某账户密码时,修改发送验证码的手机号为自己的手机号,得到验证码,成功修改指定账户密码.
- 修改密码处的验证码的验证次数或者验证码有效时间未做限制,导致可爆破验证码,当然,6 位验证码比较花时间,4 位秒破
- 通过修改 URL 中的用户名参数,从而达到直接请求最终修改指定账户的密码.
- 抓取关键步骤中的 POST 数据包,通过修改 POST 数据中的 UserName 参数实现任意密码重置.
- 邮箱验证时,重置账户的 URL 重置密码规则有规律可循,导致重置任意用户密码.
b、漏洞分析:旅仓平台任意密码重置,
漏洞实例传送门:此漏洞中重置密码共分为 4 步,洞主通过抓取第四步的 POST 数据包,从而实现只需要修改 phone 参数即可实现任意密码重置,厉害。
0x05 无验证码的撞库危害
何谓撞库?可以使用其他泄露数据库的账户密码来登录另一个网站。
而我个人的理解是:用户登录接口未做限制,导致可无限爆破用户名及密码
a、无可置否,无验证码的登录界面是每个人最愿意看到的,这样就可以展开开心的爆破了,就算无法爆破出正确的帐号密码,但是只要存在撞库危害,SRC 一般会给予通过,撞库的危害程度取决于业务是主要业务还是边缘业务
b、漏洞分析:同程某站点无验证码撞库危害,
漏洞实例传送门:此漏洞为 YSRC 刚开启时的漏洞,所以存在无验证码的登录,存在撞库危害
0x06 验证码失效的撞库危害
a、登录界面存在验证码,但是验证码只会在刷新当前 URL 时才会刷新,这会导致提交 POST 数据包时验证码的失效,从而导致绕过验证码的爆破
b、漏洞分析:同程某站点验证码无效导致可爆破,
漏洞实例传送门:当我们尝试使用 burpsuite 爆破时,设置好爆破元素开始爆破时,如果验证码失效,每一次爆破的 Response 则会提示用户名或者密码错误,而不是验证码错误,可以尝试检测是否存在此种撞库危害。
0x07 短信接口未作限制
a、短信接口未做限制可导致短信轰炸,邮箱垃圾邮件轰炸,语音电话轰炸,危害系数较低。
b、漏洞分析:购物卡兑换处短信语音轰炸,
漏洞实例传送门:此漏洞可手工检测,也可以抓包导入到 Repeater 复现数据包检测,常用的接口限口是:phone number 的发送短信次数
0x08 枚举注册用户
a、当我们在登录处输入账户名时,点击网页的任意位置,网站会自动发送请求验证账户名是否正确的数据包,此时即可截获数据包进行用户名的枚举。
b、漏洞分析:同程某站找回密码用户枚举,
漏洞实例传送门:找回密码处的验证码失效,导致可爆破用户名来枚举已注册用户
