挖SRC逻辑漏洞心得分享
文章来源i春秋
白帽子挖洞的道路还漫长的很,老司机岂非一日一年能炼成的。
本文多处引用了 YSRC 的 公(qi)开(yin)漏(ji)洞(qiao)。
挖SRC思路一定要广!!!!
漏洞不会仅限于SQL注入、命令执行、文件上传、XSS,更多的可能是逻辑漏洞、信息泄露、弱口令、CSRF。
本文着重分析逻辑漏洞,其他的表哥可能会分享更多的思路,敬请期待。
当然Web程序也不仅限于网站程序,漏洞更多的可能是微信公众号端、APP应用程序等等
下面总结一下自己的SRC挖洞思路(逻辑漏洞)。
SRC常见的逻辑漏洞类型
34.Apache tomcat session操控漏洞
35.注入
36.github,ds_store泄露(githack,ds_store_exp),
链接: http://pan.baidu.com/s/1c4BvT8 密码: pdzf 深度测试企业应用安全经验谈only_guest
个人认为逻辑是SRC出现最频繁的也是最容易挖到的漏洞,分类比较多,本文仅分析各种逻辑漏洞
0x01 0元支付订单
a、使用抓包软件(burpsuite、Fiddler...)抓包,通过分析向服务器传输的数据包,修改支付金额参数来达到欺骗服务器的效果,当然这只是最简单的思路,稍有安全意识此种漏洞几乎不会发生。
b、案例分析:同程机票支付漏洞,漏洞实例传送门:http://sec.ly.com/bugdetail?id=040057126240073192211042027138252087080136084116
此漏洞仅仅是在支付之前抓包,仅通过修改bxprice 为负数,完成了2元巴厘岛旅游,再次膜拜大佬,2000RMB+巴厘岛豪华旅游就此到手。
0x02 越权查看信息
何谓越权?越过自己能够行使的权利来行使其他权利,通俗来讲,看了自己不该看到的东西,做了自己不能做的事。
a、GET请求可直接修改URL参数,POST请求只能抓包,通过修改限定订单号的参数值,实现任意订单泄漏、开房记录泄漏,当然不一定是订单存在此漏洞,个人信息、账户详情等各种私密信息都可能存在此漏洞。
b、案例分析:酒店催房处的一处越权,漏洞实例传送门:http://sec.ly.com/BugDetail?id=252000086183010135060073226184197160190134107123
洞主不愧为老司机,用小号批量请求大号能做的请求,如果请求成功,那不就是越权吗?好像又GET到了什么
0x03 越权添加或者删除信息
a、点击添加信息,抓包后更换账号,请求抓取的包数据,若能成功,则存在漏洞;删除信息同样可能存在越权。
b、案例分析:同程机票越权添加卡包,漏洞实例传送门:http://sec.ly.com/BugDetail?id=167225056174242138247150224042057206254063148243
添加某项信息->抓取数据包->切换用户->复现数据包->成功操作->漏洞存在
0x04 用户密码重置
a、密码重置的姿势五花八门,不同的程序员可能做出的漏洞实例都不尽相同,说说我曾经遇到过的一些姿势吧:
(1)修改密码的验证码返回到Web前端进行验证,也就是点击获取验证码后,验证码返回到网页的某个hidden属性的标签中.
(2)请求获取修改某账户密码时,修改发送验证码的手机号为自己的手机号,得到验证码,成功修改指定账户密码.
(3)修改密码处的验证码的验证次数或者验证码有效时间未做限制,导致可爆破验证码,当然,6位验证码比较花时间,4位秒破.
(4)通过修改URL中的用户名参数,从而达到直接请求最终修改指定账户的密码.
(5)抓取关键步骤中的POST数据包,通过修改POST数据中的UserName参数实现任意密码重置.
(6)邮箱验证时,重置账户的URL重置密码规则有规律可循,导致重置任意用户密码.
......如有遗漏的厉害(yin dang)姿势,请回复分享!!!!
b、漏洞分析:旅仓平台任意密码重置,漏洞实例传送门:http://sec.ly.com/BugDetail?id=079064078087124103206019249045164081132199016199
此漏洞中重置密码共分为4步,洞主通过抓取第四步的POST数据包,从而实现只需要修改phone参数即可实现任意密码重置,厉害。
0x05 无验证码的撞库危害
何谓撞库?可以使用其他泄露数据库的账户密码来登录另一个网站。而我个人的理解是:用户登录接口未做限制,导致可无限爆破用户名及密码
a、无可置否,无验证码的登录界面是每个人最愿意看到的,这样就可以展开开心的爆破了,就算无法爆破出正确的帐号密码,但是只要存在撞库危害,SRC一般会给予通过,撞库的危害程度取决于业务是主要业务还是边缘业务
b、漏洞分析:同程某站点无验证码撞库危害,漏洞实例传送门:http://sec.ly.com/bugdetail?id=135117061114038121240092037083081014094068207009
此漏洞为YSRC刚开启时的漏洞,所以存在无验证码的登录,存在撞库危害
0x06 验证码失效的撞库危害
a、登录界面存在验证码,但是验证码只会在刷新当前URL时才会刷新,这会导致提交POST数据包时验证码的失效,从而导致绕过验证码的爆破
b、漏洞分析:同程某站点验证码无效导致可爆破,漏洞实例传送门:http://sec.ly.com/bugdetail?id=112195171227053035139145119019247147086179238203
当我们尝试使用burpsuite爆破时,设置好爆破元素开始爆破时,如果验证码失效,每一次爆破的Response则会提示用户名或者密码错误,而不是验证码错误,可以尝试检测是否存在此种撞库危害。
0x07 短信接口未作限制
a、短信接口未做限制可导致短信轰炸,邮箱垃圾邮件轰炸,语音电话轰炸,危害系数较低。
b、漏洞分析:购物卡兑换处短信语音轰炸,漏洞实例传送门:http://sec.ly.com/bugdetail?id=041074113247105006058199239200236127208085195183
此漏洞可手工检测,也可以抓包导入到Repeater复现数据包检测,常用的接口限口是:phone number的发送短信次数
0x08 枚举注册用户
a、当我们在登录处输入账户名时,点击网页的任意位置,网站会自动发送请求验证账户名是否正确的数据包,此时即可截获数据包进行用户名的枚举。
b、漏洞分析:同程某站找回密码用户枚举,漏洞实例传送门:http://sec.ly.com/bugdetail?id=087197063184147205102065133186047083096133108230
找回密码处的验证码失效,导致可爆破用户名来枚举已注册用户
挖SRC逻辑漏洞心得分享的更多相关文章
- [SRC初探]手持新手卡挖SRC逻辑漏洞心得分享
文章来源i春秋 本文适合新手参阅,大牛笑笑就好了,嘿嘿末尾有彩蛋!!!!!!!!!!!!!!!!!本人参加了本次"i春秋部落守卫者联盟"活动,由于经验不足,首次挖SRC,排名不是那 ...
- Putty的噩梦——渗透工具PuttyRider使用心得分享
我们在入侵到一台主机的时候,经常会看到管理员的桌面会放着putty.exe,这说明有很大的可能性管理员是使用putty远程管理主机的. 该工具主要是针对SSH客户端putty的利用,采用DLL注入的方 ...
- 应用安全 - Web安全 - 逻辑漏洞整理
短信轰炸 .Fiddler抓包repeat .burpsuite 修改 PHPSESSID ->字典爆破 如选择a-z .burpsuite手机号遍历 防御: 设置图片验证码,每次获取短信验证码 ...
- 基于 burpsuite的web逻辑漏洞插件开发(来自JSRC安全小课堂,柏山师傅)
基于 burpsuite的web逻辑漏洞插件开发 BurpSuite 提供了插件开发接口,支持Java.Python.Ruby语言的扩展.虽然 BApp Store 上面已经提供了很多插件,其中也不乏 ...
- [原题复现+审计][CISCN2019 华北赛区 Day1 Web2]ikun(逻辑漏洞、JWT伪造、python序列化)
简介 原题复现: 考察知识点:逻辑漏洞.JWT伪造.python反序列化 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台 ...
- 网络安全学习阶段性总结:SQL注入|SSRF攻击|OS命令注入|身份验证漏洞|事物逻辑漏洞|目录遍历漏洞
目录 SQL注入 什么是SQL注入? 掌握SQL注入之前需要了解的知识点 SQL注入情况流程分析 有完整的回显报错(最简单的情况)--检索数据: 在HTTP报文中利用注释---危险操作 检索隐藏数据: ...
- 学了WEB缓冲投毒-挖SRC的时候咋利用
学了WEB缓冲投毒-挖SRC的时候咋利用 昨天发了哥WEB缓存投毒的学习文章,但是除了理论和训练营并无实践,正巧翻到了一篇文章,感觉还有点关系,转的一个国外的老哥的文章. 微信公众号:小惜渗透,欢迎大 ...
- WEB安全--逻辑漏洞
业务逻辑问题是一种设计缺陷.逻辑缺陷表现为设计者或开发者在思考过程中做出的特殊假设存在明显或隐含的错误.精明的攻击者会特别注意目标应用程序采用的逻辑方式,设法了解设计者与开发者做出的可能假设,然后考虑 ...
- 一个安邦逻辑漏洞爆破密码的py脚本
漏洞地址: 安邦保险集团存在逻辑漏洞可遍历用户ID暴力破解用户原始密码进而重置用户密码(附脚本) http://www.wooyun.org/bugs/wooyun-2010-0119851 脚本PO ...
随机推荐
- 【转】Linux服务器命令行模式安装Matlab2014a
转自http://www.aichengxu.com/diannao/39100.htm 0.下载安装包 下载Matlab2014a for Linux安装包的ISO镜像文件 将下载好的iso文件挂 ...
- mysql 数据库保存\n 微信分享时不能换行
主要因为保存的是\n 但是查询出来是\\n 所以需要把\\n替换为\n即可(不转换的话不会换行并且显示\n)
- SecureCRT8.3
https://blog.csdn.net/dff1993/article/details/81189610 这篇文章我试过,成功激活了SecureCRT8.3
- getopt|sys|open|print文件|main()|if __name__ == "__main__"|getline()
#!/usr/bin/python import sys import getopt import re def compare(f1,f2,o1,o2,si_line): lines_count=0 ...
- 68.26-95.44-99.74 rule|empirical rule
6.3 Working with Normally Distributed Variables As illustrated in the previous example, the 68.26-95 ...
- 代码审计中的CSRF
0x00 背景 CSRF漏洞中文名为“跨站请求伪造”,英文别名为“one-click-attack”.从字面上我们就可以看出,这是一种劫持其他用户进行非法请求的攻击方式,主要用于越权操作,与XSS相比 ...
- 九成AI企业亏损,人工智能商业落地为何这么难?
自1956年"人工智能"一词诞生于"达特茅斯会议"后,前者就始终在不断向前推进.虽然中间经历了不少低谷和寒潮,但总算挺了过来.60多年后,人工智能在当下呈现突飞 ...
- SpringBoot1.X /2.X使用@Component注解注入为java.lang.NullPointException 问题小结
问题简述: 我们在使用Spring系的产品的时候总是想当然的以为所有指定的Bean都会让Spring来管理,其实不然,即使是Spring出品的产品也不全是的哦,以下是我遇到的一个使用@Componen ...
- [LC] 443. String Compression
Given an array of characters, compress it in-place. The length after compression must always be smal ...
- 安装centos7后不能联网
我们在安装centos的minimal版本后,在使用yum安装工具时会提示:cannot find a valid baseurl or repo:base/7/x86_64 这是因为不能联网导致的, ...