渗透测试业务逻辑测试汇总—专项篇

admin 2021年4月22日00:08:50评论46 views字数 3810阅读12分42秒阅读模式

本文作者:AngusMs08067实验室 SRSP TEAM小组成员)

渗透测试业务逻辑测试汇总—专项篇

0x00:前言

    本次总结是借鉴了月神大大之前的部分专项业务逻辑测试点,结合自己的测试经验进行补充说明,分享细化并延伸开,考虑到每个人的挖掘漏洞的领域不同,所以可能会有所遗漏,只能尽可能全面,方便于大家在测试对应类型站点的时候,能够快速的定位到可能存在问题的功能点,测试点。若有欠缺,还请各位大大不吝赐教,多来聊骚。

0x02:专项测试点

金融类


主要面向各类地方银行、国有银行等


020商城


详情见“电商类”


业务办理预约


开户、贷款、取款预约等业务预约流程进行身份证、手机号校验,可跳过身份校验

时间绕过、无会话 token、上下流程无关联,导致可批量预约申请、贷款申请、开户申请

JS 文件存在隐藏接口服务、参数

XSS 攻击


站点门户


资源请求功能处可 SSRF

投诉、建议、咨询、留言等可进行重放攻击

在线客服、投诉、建议、咨询、留言等可进行 XSS 钓鱼

项目文档、公告文件遍历,可遍历出开发测试或未对外开放的敏感文件

SQL 注入攻击

JS 文件存在隐藏接口服务、参数


业务查询


未授权、越权查询、篡改、取消业务

部署第三方接口未做好处理,导致敏感信息回显 //部分调用银联接口,未做好回显处理,导致可通过手机号或身份证号查阅到用户绑定的其他信息。

SQL 注入

业务单号可枚举遍历


网银


包含个人网银、企业网银

SQL 注入

各个业务服务功能越权

登录后的图案屏保、密码屏保绕过

功能接口敏感信息泄露


节日活动


游戏活动积分刷取 //主要利用重放、和参数篡改的方式

抽奖、领券并发

基于时间判断的活动抽奖次数限制绕过

兑奖并发

领奖条件限制绕过


互动板块


员工活动园区、用户活动社区,详情参考“社交类”


政府、教育机构类


主要面向政府机关单位、高等院校


业务办理预约


校验缺陷,可借用虚假信息进行考试报名、消耗报考次数

报考费用篡改、流程绕过等

生活业务批量预约、申请

CSRF 攻击

XSS 攻击



站点门户


对外开放的项目、事件公示公告未做敏感信息处理,详情可参考“对弱口令 CP 组挖掘解析——密码篇”中的实战案例

文档文件遍历

路径可控,文件任意读取

SQL 注入攻击

公告栏敏感信息泄露 //特别一些关于企业、个人通报的公告,可能页面对人员敏感信息(手机号、身份证号)做了*处理,但是服务器返回包明文显示,这类情况不少见。


互动板块


市民交流论坛、学校师生活动社区,详情参考“社交类”


各类管理系统


访问限制绕过 //主要针对于高校系统,考虑到高校大多采用校园网,而不是采用 VPN 连接方式,导致可篡改 HTTP 头部的 XFF 进行 IP 伪造为本地 IP,从而绕过访问限制。

登录类、验证码类测试 //参考“业务逻辑测试汇总——通用篇”

系统使用文档指南敏感信息泄露

文件遍历、任意读取 //位于登录页面的一些指示文档


业务查询


越权查询、篡改、取消业务

SQL 注入

业务单号可枚举遍历


电商类


主要面对商城交易里的各个模块,订单交易、查询、评论等

商品限量、优惠券限量、抽奖功能、提现、会员充值可并发

订单完成中会有商品评价,会检测是否购买过商品,通过篡改待支付订单的状态码进行绕过,对未支付订单商品进行评价

支付订单、生成订单时修改敏感参数、或替换订单 ID、商品 ID、数量、金额等导致订单金额篡改

总金额=商品金额+优惠券金额(只校验订单总金额,而不单独校验优惠券金额跟商品金额,可增大优惠券金额)

校验商品总数量不能为负数,而不校验单个数量,可以设置两个商品一个数量为-1,一个数量为 2。

使用优惠券、退货处、订单查询、收货地址、个人信息、商品评价等可越权使用、篡改、删除

订单参数混淆干扰,在同一个订单内提交两个或多个金额参数,如 price=1&price=-1

强制攻击        //强制攻击发生在暴力破解的情况下,如果一个商家运用一个自己的网店,接入第三方支付接口,由于设计上的不当导致商家与第三方支付约定的密钥 Key

可以单独被 MD5 加密,导致可以使用 MD5 碰撞技术对密钥进行破解,攻击者可以设计简单的密钥加密信息使得 MD5 加密是可以用 MD5 碰撞技术进行暴力破解

订单金额单位可替换

收款账号、二维码篡改

支付流程缺陷,可跳过,假设 abcd 四个步骤,c 为校验步骤,直接跳过 c 进入到 d 步骤)

int 型溢出(超过最大值整数溢出)遍历优惠券 id,有可能遍历出测试隐藏的无条件大额优惠券

订单未捆绑,确定支付之后还可以将商品加入购物车:把商品放入购物车点击下单支付,会跳转到微信,支付宝等第三方支付平台。这个时候还可以继续在购物车中加入商品,支付结束之后,商家发放的商品是现在的购物车里面的东西

JS 文件存在隐藏接口服务、参数

优惠券使用限制绕过


平台资源类


主要面向一些开放平台、例如接口平台,资源申请平台等接口、服务资源未授权、越权使用

资源批量申请

优惠购买会员(重复使用优惠购买)

平台资源介绍文档导致接口、账号等敏感信息泄露

购买服务时并发,叠加使用时间

邀请虚假伪造用户,增长体验时长

非会员使用会员功能限制绕过


社交类


主要面向社区论坛

个人用户信息回显   //论坛、社区部分以用户手机号等方式进行注册,注册后默认以该手机号为账号,有的会明文显示,有的会在页面上做屏蔽处理,但服务器返回是明文

修改密码、个人信息越权操作

用户批量注册

注册信息覆盖

客户端校验绕过

评论区可外链钓鱼链接(包括 XSS)

任意文件上传

加密帖检验绕过

强行加好友(一般尝试重发通过好友这条协议)

自由修改号码(靓号类)

非会员使用会员功能


证券、保险类


主要面对证券机构、保险行业等


O2O商城


见“电商类”


商业推广


好友短信邀请内容可控 //“发件方为该证券、保险公司”

好友邮箱邀请内容可控 //“发件方为该证券、保险公司”

短信、邮箱批量发起


业绩回报


可跨区查看其他区域销售人员业绩

业绩汇报敏感信息泄露(包括工号、手机号等)


节日活动类


见“金融类——节日活动“


互动板块


见“社交类”


各类管理系统类


登录类、验证码类测试 //参考“业务逻辑测试汇总——通用篇”


门户网站


APP 下载信息可控 //部分证券、保险,下载其 APP 时,需对用户手机号进行校验,然后将 APP 下载的链接以短信形式发送给用户,且内容信息可控

资源请求功能处可 SSRF

投诉、建议、咨询、留言等可进行重放攻击

在线客服、投诉、建议、咨询、留言等可进行 XSS 钓鱼

项目文档、公告文件遍历,可遍历出开发测试或未对外开放的敏感文件

SQL 注入攻击

JS 文件存在隐藏接口服务、参数


医院医疗类


预约挂号

批量预约挂号申请

越权取消、查看、篡改预约挂号信息

预约次数限制突破


充值缴费


订单金额篡改


O2O商城


主要针对于一些医疗器材销售,详情见“电商类”


报告、清单查询


越权查看、篡改他人看诊报告、消费清单

清单、报告 ID 可遍历枚举

用户身份校验缺陷(绕过、短信可爆破) //针对于短信验证码校验,大多数公众号类是采用手机号+验证码的形式登录,详情见“业务逻辑测试汇总——通用篇——验证码类、登录类”


便民服务


问卷调查批量恶意评价

突破调查满意度限制

住院、看诊记录越权查看

市民服务批量预约

取药凭证可枚举暴破


服务类


主要面向于生活服务,包括外卖、物流快递、交通运输等


外卖


商品数量,0,负数,小数,特定值,正负数(A 为-1,B 为 2,总值为 1)

送餐员评价、星级、打赏金额修改(小数,负数)

商品评价字数、星级限制突破,上传图片是否可以自定义格式,

送餐地址限制突破

强行货到付款,取消订单,退款

越权操作别人订单,登陆

优惠购买会员(重复使用优惠购买)

外卖红包并发领取

红包、优惠券可枚举


物流快递


快递单号可枚举暴破

订单信息、收货地址、用户个人信息可越权查看、操作

预约寄件服务批量发起,且未对人员信息进行合法校验,导致可恶意伪造


交通运输


无限叫车,重复发送协议造成市场混乱

修改评价分数

修改限时优惠叫车关键参数

替换优惠卷

越权操作其他订单


娱乐类


主要面对直播、漫画、音乐等软件


音乐


唱歌类软件修改上传分数等参数

评论区批量恶意评论、越权评论

付费下载尝试替换下载 ID

修改付费下载金额

F12 查看下是否有歌曲地址


漫画


打赏金额为负数,小数,特定值(溢出)

越权删除评论,登陆

修改充值金额

付费漫画免费看

评论图片数量过多会导致客户端加载卡死


直播


快速进出房间炸房

无限发送点赞协议

修改礼物数量,0,小数,负数,特定值(一般情况下为 1073741824)

修改礼物 ID,遍历尝试是否有隐藏 ID

并发送礼物,抽奖

无限创建首次优惠订单,有些首次优惠订单是一个特殊的 pid,这种的直接替换 pid 进行支付。有些是相同的 ID,这种的提前创建订单,记录多个订单号在依次修改订单支付。

刷屏:发言刷屏,分享,点赞等有提示的地方刷屏

房间内可以申请的地方进行申请取消操作,看看是否能炸房。

越权踢人,增加管理员,关闭房间等操作。

发送的表情是否可以修改长宽

0x03:小结

    业务逻辑问题遍布各处,可以说你所见之处便可能存在逻辑问题,故而个人建议,在对目标进行测试时,先整体全面的对该目标上的所有业务服务流程走一遍,并做好记录(参数、上下流程关联性、功能之间的联系),以便后面综合性的测试,避免遗漏。能够做到心中有数。





渗透测试业务逻辑测试汇总—专项篇

招新



微信联系方式:cos2606596924

满足以下要求均可尝试

1.至少会一门编程语言

2.漏洞平台上提交过漏洞超过20个

3.每月一文章分享(考虑有些要上班)‍






扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

渗透测试业务逻辑测试汇总—专项篇  

目前25000+人已关注加入我们

渗透测试业务逻辑测试汇总—专项篇

本文始发于微信公众号(Ms08067安全实验室):渗透测试业务逻辑测试汇总—专项篇

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月22日00:08:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试业务逻辑测试汇总—专项篇https://cn-sec.com/archives/292286.html

发表评论

匿名网友 填写信息