企业网络安全建设-越权逻辑漏洞篇

admin 2021年10月25日15:49:50评论192 views字数 1884阅读6分16秒阅读模式


越权逻辑漏洞是企业项目最常见的一种漏洞,也是各位安全从业人员,渗透测试前一眼可以看出的问题入口,同时这也是渗透测试流程首次要测试的漏洞。四个字形容:顺手牵羊。


攻击测试的原理就是HTTP/HTTPS协议POST/GET包,进行抓包重放,对原始的表单参数进行相关业务改变更改,从而进行重放数据包。例如userid=1改成userid=2,如果id2返回与id1格式相同内容不同,那么就形成了越权逻辑漏洞。

企业网络安全建设-越权逻辑漏洞篇

了解https重放抓包攻击测试:

安卓模拟器APP微信小程序HTTPS抓包教程 2021.10


越权指的是:越权有分横向与纵向,大体为未授权或者没有对提交请求进行权限判断,就返回数据,有授权俗称cookie欺骗,无授权则就是对用户数据不负责任的裸奔泄露。

例如:任意修改用户密码、任务获取用户资料、批量化用户信息泄露,等..


逻辑漏洞指的是:对请求的参数对象,服务端没有做判断处理,就返回数据

例如:0元支付逻辑漏洞,免费升级用户权限、免费查看本无权限的内容,等


例子分享:

1、cookie欺骗越权逻辑漏洞

通过ID10账号的cookie值,去获取别的用户的权限,取得其它数据。可以实现批量化获取,造成信息泄露。

payload

POST /api/allProblem HTTP/1.1Host: xxx.comConnection: closeContent-Length: 46Accept: application/json, text/plain, */*Content-Type: application/json;charset=UTF-8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.5;q=0.4Cookie: XMM-SESSION-TOKEN=723e249c-7fb4-448d-9af5-0a5764789e8c
{"page":1,"limit":5,"userId":10,"status":"1"}

企业网络安全建设-越权逻辑漏洞篇

危害描述

可以批量化造成,用户敏感信息泄露,通过此方式可以获取以下数据:订单、交互问答、聊天客服咨询信息、等等..


修复方案

请求当前用户资源,不需要传userId":10进行获取该用户的ID的数据资源,通过session方法也可以实现当前用户的认证。


2、任意修改手机号码

存在问题:

1、任意修改自己手机号码

2、修改别的用户的手机号码为自己手机号码,类重复绑定


形成该漏洞核心原因,有些企业项目,在用户表手机号码字段,因为需要做分表的需求,手机号码不能做字段唯一。开发人员不做额外判断处理就很容易形成逻辑漏洞。


修复方案

提高编码逻辑,在改变业务状态时候,不相信前端提交过来的数据!

1、验证当前手机号的验证码;验证通过才进入下一个改变业务状态的环节。
2、处理提交更换手机号码时候,需要带着:旧手机号、旧验证码、新手机号、新验证码。


试试我们的线上攻防实验:

从攻击到写代码修复漏洞防御,让你全方位了解越权逻辑漏洞。


通用型横向越权逻辑漏洞安全指南

实验基于ThinkPhp框架开发,实现用户资料修改、用户密码修改、新增/删除便签,横向越权逻辑漏洞;从攻击复现到漏洞修复防御进行深度安全攻防实践。

企业网络安全建设-越权逻辑漏洞篇


通用型纵向越权逻辑漏洞安全指南

实验基于ThinkPhp框架开发,实现普通用户越权管理员用户进行新增/删除便签操作,纵向越权逻辑漏洞;从攻击复现到漏洞修复防御进行深度安全攻防实践。

企业网络安全建设-越权逻辑漏洞篇


通用0元支付逻辑漏洞安全参考

实验以攻击促进防御思想,通过对订单信息中的商品价格以及商品数量进行任意修改,从而形成0元支付逻辑漏洞,实验还展示了对漏洞代码的最佳安全修复方案。

企业网络安全建设-越权逻辑漏洞篇


TP5实践0元支付逻辑漏洞安全参考

实验通过我们已经推出的“通用0元支付逻辑漏洞安全参考”,进行深度安全实践,在ThinkPHP5框架有真实场景实现0元支付逻辑漏洞安全参考!让企业线上交易更安全~

企业网络安全建设-越权逻辑漏洞篇


总结:本文可能说的不完美,比如攻击测试手法,特别是防御写代码修复漏洞手法,但该说的都在攻防实验,建议去看看,现在实验环境都免费了。最后提醒各位:挖到某个网站/APP的支付漏洞,强烈建议数额不要超过 10 RMB,渗透测试成功后火速提交上报平台,不要留着,小心带上玫瑰金手铐。


向渗透测试,安全从业人员致敬!希望有入职转正考核之际的朋友们,走了狗屎运遇到一堆逻辑漏洞,干爆开发人员,得到领导无脑钦佩,顺利转正,从此成为一名高贵摸鱼达人带着渗透测试工程师title,猥琐发育苦练编程技术。

原文始发于微信公众号(安全龙):企业网络安全建设-越权逻辑漏洞篇

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月25日15:49:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   企业网络安全建设-越权逻辑漏洞篇http://cn-sec.com/archives/599297.html

发表评论

匿名网友 填写信息