实现注册功能
我们将以某学校网站(school.org)为例来学习注册功能的实现: 在这个例子中,学生需要注册到school.org来访问他们的学术教育资源。org的用户必须有能力注册为会员,从而获得访问网站内容的权限。
因此,学校可以通过两种方式来实施报名过程: 手动注册-基于用户提供的一系列特定用户信息进行注册。通常包含姓名、电子邮件、密码、确认密码等表单,如下图所示。
-
社交注册/OAuth -通过整合的社交媒体来源通过社交媒体平台,如Facebook, Twitter,或谷歌注册,用户可以登录到第三方网站,而不是创建一个新的帐户专门为该网站。在这个博客中,我将讨论手动注册中的bug。社交注册/ OAuth作为我们的下一个博客主题。
利用注册功能
1. 重复注册/覆盖已有用户(其实也是属于账户劫持)
重复注册是指一个应用程序允许我们注册或注册相同的电子邮件地址,用户名或电话号码。根据所执行的攻击类型,它可能会产生严重的后果。
复现步骤
1)在应用程序中创建第一个帐户,用电子邮件[email protected]和密码。
2)退出账号,创建一个邮箱相同密码不同的账号。
3)你甚至可以尝试改变电子邮件在某些情况下,如从[email protected]到[email protected]
4)完成创建过程——并查看它是否成功
5)现在返回并尝试用电子邮件和新密码登录。登录成功。相关报告:https://hackerone.com/reports/187714https://shahjerry33.medium.com/duplicate-registration-the-twinning-twins-883dfee59eafhttps://blog.securitybreached.org/2020/01/22/user-account-takeover-via-signup-feature-bug-bounty-poc/
2. 在注册页面的名称/密码栏上DOS操作(gitlab中也有不少dos漏洞)
通过发送非常长的字符串(100000个字符),可能会导致服务器遭到拒绝服务攻击。这可能导致网站不可用或无响应。通常这个问题是由脆弱的字符串哈希实现引起的。当发送较长的字符串时,字符串哈希进程会导致CPU和内存耗尽。
复现步骤
1)去注册表单。
2)填写表格,并在密码中输入一个长字符串
3)点击进入,你会得到500个内部服务器错误,如果它是脆弱的。
相关报告:https://shahjerry33.medium.com/long-string-dos-6ba8ceab3aa0https://hackerone.com/reports/738569https://hackerone.com/reports/223854
3.在用户名,注册帐户名称存在XSS
跨站脚本(XSS)是一个安全漏洞,通常发现在网站和/或web应用程序接受用户输入。这将把恶意代码注入目标网站的内容,使其成为网站的一部分,从而使其影响可能访问或浏览该网站的受害者。现在,为了测试XSS的注册页面,我们可以简单地插入XSS的有效载荷,如:用户名,电子邮件,密码等。
-
username 的payload:
<img src=x onerror=alert(1)>
-
e-mail的payload
“><svg/onload=confirm(1)>”@x.y
https://hackerone.com/reports/196989https://hackerone.com/reports/470206
4.在注册页没有速率限制
速率限制算法用于根据会话缓存中的信息检查用户会话(或IP地址)是否必须受到限制。在注册页面测试速率限制是个不错的主意。
这种影响可以很好地解释。如果注册页面没有速率限制,恶意用户可能会产生成百上千的假账户,导致应用数据库中充满假账户,这可能会在许多方面影响业务。您可以很容易地测试它(用bp)。
-
捕获注册请求并将其发送给入Intruder。 -
添加不同的电子邮件作为有效负载。(不一定需要邮箱字典) 3.启动Intruder,并检查它是否返回200 OK。
相关报告:
https://hackerone.com/reports/905692 (有视频验证)
https://hackerone.com/reports/97609 https://hackerone.com/reports/262830
原文始发于微信公众号(迪哥讲事):注册功能测试小结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论