下面以某微信小程序为例,通过浏览所提供的服务发现,在线上预约处可获取到在职医生的手机号信息,同时在登录处支持短信验证码登录系统,我们可以试想把这两个点联动起来可能会有意外的成果。
1、获取到医生手机号,但是中间四位隐藏了,没关系我们可以利用短信验证码登录处功能爆破下
2、制定好字典后,通过爆破得到完整的手机号
3、再利用短信验证码登录功能爆破验证码
4、成功爆出验证码为6524并登录系统
越权访问漏洞是指用户进行了未经授权的数据访问或者操作。
常见的挖掘方式就是在功能点传参上分析数据包格式,如修改或删除特定的参数值,又或者开发人员根本没有对用户唯一性作验证,都有可能获得敏感数据。
验证一:访问预约记录功能并抓包。
将请求数据包内参数visitorId的值删除后放行
可以看到敏感数据
场景二:点击详情,开发人员虽然没有让敏感数据在页面显示,但是也将它放到响应包内。
可通过遍历id值扩大成果
注入类攻击是 Web 安全领域中最常见的攻击方式,注入攻击发生在当不可信的数据作为命令或者查询语句的一部分被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,导致解释器执行了非预期的命令。
以此为例:点击头像上传功能,在上传的图片内添加注入恶意语句。
将payload上传后,访问返回的路径值。
访问头像可以看到payload被执行了
短信轰炸攻击是常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞。
情景一、未对发送次数做限制
情景二、没有做真实手机号验证。
原文始发于微信公众号(如棠安全):【渗透干货-移动端】APP应用渗透测试思路--下篇(保姆级教程)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论