1. 暴力破解
在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。简单的验证码爆破。
案列:某药 app 暴力破解
前一段时间某药app 在地铁站里做广告,于是就下了看了下,抓包一看请求全是明文的,感觉渗透有戏,于是开始渗透。
先从登陆界面开始:
从登陆界面上看,使用手机号登陆时随便输入几个手机号和密码,发现返回内容不一样。手机号没有注册过的,返回手机号不存在,手机号注册过的,返回用户名密码错误。遍历手机号字典进行暴破,如图:
获取到手机号之后,接下来就是要开始暴力破解了,用自己的手机号进行测试发现验证码是4位的,而且请求也是明文的,接下来暴力破解验证码。刚开始成功了,但是用这个验证码却登陆不上去,于是就关了那个爆破结果,后来我静下来想想,想到人家验证码可能是一次有效的,后来我又刷了一遍,但是可能被发现了,再刷结果返回302了,失败。
于是我发现有个找回密码功能,也是手机验证码,填上自己自定义的密码,然后获取验证码,抓包;
继续爆破,这次找到了,其实暴力破解登陆验证码的时候跟这个一样,只不过我没保存下来,如下图:
用我修改的密码登陆,如上图: 登录成功
总结:
这次爆破与其他爆破不一样的地方在于验证码是一次性的,不像其他验证码那样可以重复使用多次。
一些工具及脚本:Burpsuite、htpwdScan 撞库爆破必备工具,附上URL: https://github.com/lijiejie/htpwdScan、hydra 源码安装xhydra支持更多的协议去爆破 (可破WEB,其他协议不属于业务安全的范畴)。
2 Cookie&session会话固定攻击
利用服务器的session 不变机制,借他人之手获得认证和授权,冒充他人。
案列:新浪广东美食后台验证逻辑漏洞,可以直接登录到后台,导致566764名用户资料泄露。
网站源码可直接下载本地,分析源码可直接登陆后台。暴露所有用户个人资料,联系方式等, 目测用户 566764 名。
用户资料暴露:
566764 名用户资料:
直接进入后台,并且可以直接下载源码:
566764 名用户资料直接跨后台浏览:
修复方案:
利用phpsessid会话固定漏洞,攻击者可以进行会话固定攻击。在一个会话固定攻击开始,攻击者将用户的会话ID固定之前,用户登录目标服务器,将需要的会话ID删除之后从 php.ini 设置session.use_only_cookies = 1。该选项使管理员能够使他们的用户不会受到攻击涉及在URL 传递的会话 ID,缺省值为 0。
3. Cookie 仿冒
修改 cookie 中的某个参数可以登录其他用户。
案例:益云广告平台任意帐号登录
只需要添加cookie字段的值,如yibouid=数字,即可登录任意用户的账户!通关遍历得到一个官方管理员的ID:291,成功登录进入系统。
看看浏览 还是不错嘛。
修复方案:
增强对 cookie 的验证机制!
资源分享--书籍分享
原文始发于微信公众号(LSCteam):身份认证安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论