常规测试越权漏洞的思路
注册AB账号来进行测试
点击我的档案测试账号一填写信息用户A
测试账号二填写信息用户B
以及各自的身份证号和手机号等等小程序要求填写的信息
点击"“我的档案”并且抓包,找到此包
在A用户的数据包中更改为B的uid就可以达到越权效果
但是新的问题来了
即使得到了其他用户的数据也是经过加密的
想了很久,可以利用小程序的解密程序帮我解密加密字段
具体方式就是将越权得到的数据替换到正常流动的数据包中的返回包中
让系统认为受害这的信息是我们自己的信息
替换uid,可以看到返回的就是账号二的信息了(在账号一中看到了账号二的信息)
接下来进行uid的遍历(小范围遍历,只用于证明恶意攻击者可能的方式)
可以看到仅仅遍历了后四位数就遍历出了很多人的信息
危害总结:
1利用难度低,系统虽然应用了jwt加密,但是攻击者根本不用去破解加密这个高难度的事,只需要将别人的信息包替换至返回包中发回服务器,前端就会自己帮攻击者解密。
2.数据泄露规模大,只要是用过这个小程序的用户,都可以通过遍历u的操作得到信息,全部信息都会泄露
原文始发于微信公众号(猎洞时刻):啊,酱紫越权?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论