系統(tǒng)邏輯漏洞挖掘?qū)嵺`
發(fā)布時間:2023-10-09
作者:上海工業(yè)控制安全創(chuàng)新科技有限公司
點(diǎn)擊次數(shù):次
作者 | 林海文 上?�?匕部尚跑浖?chuàng)新研究院汽車網(wǎng)絡(luò)安全組社群 | 添加微信號“TICPShanghai”加入“上?����?匕?1fusa安全社區(qū)”
01
前 言
當(dāng)談及安全測試時�����,邏輯漏洞挖掘一直是一個備受關(guān)注的話題�����,它與傳統(tǒng)的安全漏洞(如SQL注入�����、XSS����、CSRF)不同,無法通過WAF���、殺軟等安全系統(tǒng)的簡單掃描來檢測和解決�。這類漏洞往往涉及到權(quán)限控制和校驗(yàn)方面的設(shè)計(jì)問題���,通常在系統(tǒng)開發(fā)階段未充分考慮相關(guān)功能的安全性�。
舉例來說��,攻擊者可以利用這些邏輯漏洞��,通過利用程序員在設(shè)計(jì)中的疏忽��,實(shí)施交易數(shù)據(jù)篡改��、敏感信息盜取以及資產(chǎn)竊取等操作����。這種類型的漏洞潛在危害極大,可能導(dǎo)致企業(yè)遭受資產(chǎn)損失和聲譽(yù)受損的風(fēng)險(xiǎn)�����,而傳統(tǒng)的安全防御設(shè)備和措施往往無法有效應(yīng)對這些問題����,顯得力不從心��。
02
挖掘思路總結(jié)(部分)
當(dāng)提到邏輯漏洞時�����,有各種各樣的漏洞類型。其中�����,賬戶����、驗(yàn)證碼、越權(quán)這三個模塊是最常見且相對較容易被攻擊的部分�。下面,我們可以看一下這三個模塊中常見的挖洞姿勢�����。
3.1 驗(yàn)證碼
3.1.1 修改返回包繞過
這種方法基于返回的狀態(tài)碼來驗(yàn)證用戶憑證的正確性����,通常情況下,正確的驗(yàn)證碼返回狀態(tài)碼為1,錯誤則為0��。因此��,攻擊者可以通過抓取響應(yīng)包�����,并將錯誤的狀態(tài)碼修改為1��,從而成功繞過驗(yàn)證����。
找到系統(tǒng)登錄界面修改賬戶密碼的地方,采用郵箱修改密碼�;選擇發(fā)送驗(yàn)證碼后,隨機(jī)輸入一串驗(yàn)證碼��,發(fā)送數(shù)據(jù)�,然后抓包。請求包如下:再攔截一下響應(yīng)包�。如下圖,可以直接看到“data:false”進(jìn)行了一個判斷���。修改false為true后放包:
填入新的密碼,點(diǎn)擊確認(rèn)��,修改成功����。
3.1.2 驗(yàn)證碼傳遞特殊參數(shù)繞過
驗(yàn)證碼安全控制的失效問題。通常�����,常見的系統(tǒng)安全措施包括設(shè)置6位數(shù)驗(yàn)證碼����,有效期為30分鐘或更短���,驗(yàn)證失敗6次后驗(yàn)證碼會直接失效����。然而�����,有些系統(tǒng)采用標(biāo)志位來控制驗(yàn)證碼的狀態(tài)和生命周期�����。當(dāng)標(biāo)志位為1時,系統(tǒng)將驗(yàn)證碼標(biāo)記為失效����,用戶無法再使用該驗(yàn)證碼來修改密碼;而當(dāng)標(biāo)志位為0時�����,系統(tǒng)將驗(yàn)證碼標(biāo)記為有效���,用戶可以繼續(xù)完成密碼修改流程���。
同樣的,在個人中心處發(fā)現(xiàn)存在修改密碼的功能點(diǎn)�����,仍舊是通過郵箱重置密碼�。點(diǎn)擊“獲取驗(yàn)證碼”:等待6分鐘后輸入正確的驗(yàn)證碼并抓包(此處6分鐘為驗(yàn)證碼過期時間),響應(yīng)報(bào)文提示驗(yàn)證碼已經(jīng)失效��。請求及響應(yīng)包如下:將此處sourceFlag標(biāo)注為u從1修改為0���,發(fā)送報(bào)文�,看到右側(cè)響應(yīng),成功繞過時效性以及錯誤次數(shù)的限制:3.2 賬戶
3.2.1 遍歷猜解已有賬號
這種漏洞可能存在于用戶注冊��、密碼重置或驗(yàn)證碼驗(yàn)證流程中����。在注冊過程中,如果系統(tǒng)內(nèi)部已存在相同賬戶�����,通常無法成功注冊�����。對于密碼重置策略不夠安全的網(wǎng)站�,比如允許用戶通過相對簡單的信息(如用戶名��、電子郵件地址或手機(jī)號碼)來重置密碼���,攻擊者可以通過遍歷或猜測這些信息來找到有效的用戶賬號���。此外�,如果網(wǎng)站在驗(yàn)證碼驗(yàn)證過程中沒有足夠的限制或防護(hù)機(jī)制����,攻擊者可以嘗試多次提交驗(yàn)證碼,通過遍歷可能的驗(yàn)證碼值來找到有效的組合���。
同樣的�,在個人中心處發(fā)現(xiàn)存在修改密碼的功能點(diǎn)����,仍舊是通過郵箱重置密碼。點(diǎn)擊“獲取驗(yàn)證碼”:等待6分鐘后輸入正確的驗(yàn)證碼并抓包(此處6分鐘為驗(yàn)證碼過期時間)�,響應(yīng)報(bào)文提示驗(yàn)證碼已經(jīng)失效。請求及響應(yīng)包如下:修改email為不存在的用戶郵箱�����,發(fā)送報(bào)文得到response��,提示當(dāng)前用戶不存在�����。那么可以采用常見用戶遍歷的方式進(jìn)行猜解:3.3 越權(quán)
3.3.1 越權(quán)修改賬戶密碼
網(wǎng)站未能有效驗(yàn)證和控制用戶在修改郵箱地址時的權(quán)限��。攻擊者可以繞過身份驗(yàn)證,訪問其他用戶的郵箱地址修改頁面����,并進(jìn)行未經(jīng)授權(quán)的郵箱地址修改。這表明在系統(tǒng)設(shè)計(jì)階段可能沒有進(jìn)行全面的用戶身份驗(yàn)證����,或者存在身份驗(yàn)證方面的漏洞,因此可能導(dǎo)致任意賬戶密碼的重置����。
在個人中心修改賬戶密碼的地方,采用郵箱修改密碼�;選擇發(fā)送驗(yàn)證碼后,輸入正確的驗(yàn)證碼����,點(diǎn)擊下一步�,成功驗(yàn)證進(jìn)到修改新密碼這一步。
輸入新密碼�����,發(fā)送數(shù)據(jù)��,然后抓包。請求包如下:修改email地址為admin@*.com(admin用戶的id)��,將攔截到的報(bào)文給發(fā)送出去:3.3.2 越權(quán)修改其他用戶密碼
在正常情況下���,當(dāng)用戶試圖修改他們自己的密碼時�,系統(tǒng)應(yīng)該首先驗(yàn)證用戶的身份����,以確保他們有權(quán)訪問和修改他們自己的帳戶信息。身份驗(yàn)證通常包括要求用戶提供當(dāng)前密碼或其他身份驗(yàn)證憑證�����。然而�,在某些情況下,系統(tǒng)未充分執(zhí)行身份驗(yàn)證檢查��,例如將 "id" 參數(shù)設(shè)置為目標(biāo)用戶的帳戶標(biāo)識�����。這使得攻擊者可以通過篡改請求中的 "id" 參數(shù)來偽裝成其他用戶的帳戶���,而無需提供正確的身份驗(yàn)證憑證�。
利用已知賬戶登錄進(jìn)系統(tǒng),選擇更改登錄口令功能��,修改新口令點(diǎn)擊確定��,抓包如下:burp攔截報(bào)文�����,可發(fā)現(xiàn)它的Id字段可控:修改id為2��,根據(jù)服務(wù)器回應(yīng)的報(bào)文�����,成功篡改id為2的用戶的密碼:3.3.3 越權(quán)登陸
通常情況下���,登錄過程應(yīng)依賴于用戶提供的憑據(jù)�����,例如用戶名和密碼���。然而,在某些系統(tǒng)中�,存在由客戶端提供的參數(shù),如certSn��,用于標(biāo)識用戶會話��。攻擊者可以修改certSn參數(shù)以繞過授權(quán)檢查����,導(dǎo)致服務(wù)器未能正確驗(yàn)證會話是否屬于請求的用戶。這種漏洞使得攻擊者能夠手動修改certSn的數(shù)值����,從而進(jìn)行賬戶猜解攻擊。
插入一張key(非RA管理員)�����,點(diǎn)擊登錄�����,抓包如下:可增加或者減小當(dāng)前數(shù)值來修改該參數(shù)���,成功登錄RA管理員賬號:
閱讀原文
