业务逻辑之Res校验绕过

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

Response状态码测试是针对目标站点或APP校验逻辑缺陷，通过修改请求的响应包来达到前端欺骗，绕过前端校验从而达到绕过身份验证重置密码等目的。

这种漏洞的利用方式通常是在对服务器发起密码重置、修改等请求后，服务器会返回一个状态码，例如true、200、Success、ok等，站点前端则通过服务器返回的状态码判断接下来进行的操作。

Response 状态码修改流程主要是分析服务器校验后的结果，正确和错误的返回结果分别是什么，在通过将错误的结果修改为正确来欺骗客户端，以达到密码重置的目的。

案例一：某银行综合服务平台为例

此为一个APP，一如既往的拿到该目标后，先进行常规正常的操作，分析其业务流程。

先进行抓包查看，发现该目标上行报文进行了加密处理，但下行报文却未处理，明文返回.

该APP简单来说是一个综合服务平台，用户通过登录此平台后，可对应的选择进入子应用，且APP支持人脸识别登录以及手机短信验证码校验登录。（由于较为敏感，故做了比较详细的屏蔽处理，望见谅。）

在进行登录口测试时，发现有做登录限制，错误5次，账户会被禁用，

于是尝试一下Response校验绕过，观察登录请求包和响应包，发现服务器返回两个参数，MSG（信息）和STATUS（状态），人脸识别错误状态码为-1、短信验证错误状态码为0

于是尝试将STATUS改为1进行尝试，发现可以直接绕过前端校验进入到平台

随意点进一个平台后发现需要设置或输入手势密码。随意设置后，重新进入平台需要进行手势密码验证，输错5次后，需要进行登录密码校验从而进行重置，输入任意密码，查看响应包

发现返回json数据，携带有多个参数，

可以观察到带有一个叫RET_STATUS参数的，错误的时候，其参数值为F（即False），因此可推测如果正确的话其参数值为T（True）或S（Success），具体视情况而定，这里改为S可成功绕过登录密码校验重置手势密码

总的来说，该APP的安全校验全是采用的客户端校验，导致可通过Res状态码通杀各种校验机制。

案例二：某医院公众号登录密码重置

我们在对Res状态篡改测试的时候，基本是针对明文数据包来操作，因为我们需要人为的去篡改里面的部分参数值，若数据包进行加密了呢？在我们不知道解密的密钥或加密规则的时候，还能测试吗？答案的是可以。

例如某医院公众号的一个登陆功能，具备有登陆、注册、忘记密码三个功能，观察数据包发现上下行报文均进行了加密。

尝试了一下登录绕过，发现无果，于是尝试密码重置，经测试分析，用户找回密码共分为两步，第一步resetPwdStep1.jsp，需用户输入手机号并获取验证码，进行短信验证码校验，通过后进入下一步

第二步resetPwdStep2.jsp，输入新设置的密码，并再一次确认新密码。

经过测试核实，由于重置密码仅为2步，无法进行尝试跳步重置密码，但在第一步，系统采用前端校验，且仅在第一步进行短信验证码校验，在第二步确认密码时未对短信验证码进行校验，导致可通过篡改返回包值为

E0A136662A2D8591C399306FD130F69AC55132185875790159A63B9C998DA997，从而绕过短信验证码校验，直接进入到第二步，进行输入新密码。

于是乎对一个已知的用户尝试进行密码重置，利用正确加密的返回包，替换错误的返回包

所以当遇到加密的数据包时，也并非不可测。只是有时候需要绕几个弯。

业务逻辑是针对于业务流程处理逻辑上的测试，故需要细心耐心的测试，最好的方式便是先进行正确完整的业务操作，分析其流程之间的对应关系，例如上面所提到的Res状态码测试，常见的状态码为true、1、200、success等，但是除此以外，不同的开发人员设计的系统也不同，也就导致了状态也不同，例如某银行的状态便是90001、90002、4001、4002等等，各式各种，因此都需要进行正确的操作以及错误的操作从而去分析之间的差别，对此漏洞的利用还可参考之前发布的《一次基于业务逻辑漏洞的应急响应》。

细节决定成败~