漏洞
01
极简是一种极奢
在一次金融行业的渗透测试项目中,客户提供了一批资产供我们进行评估。其中,有一个名为“xx业务综合平台企业端”的系统引起了我的特别关注。仅从名称来看,这个平台很可能具备多种功能和复杂的业务逻辑,
而这恰恰意味着潜在的安全漏洞存在的可能性也大幅增加。
由于我对这个平台的复杂性充满好奇,便决定不再停留在登录框的表面,而是直接进行注册,迅速进入后台系统,深入探讨其业务逻辑。这一策略旨在更全面地了解系统运作,寻找可能存在的安全隐患,尤其是在功能交互较为复杂的情况下,往往能揭示出一些潜在的弱点和漏洞。在探索过程中,我将重点关注用户权限管理、数据输入验证及模块间的交互,以确保能够发现并修复这些潜在问题,从而提升整个系统的安全性。
02
系统后台
当我们悄悄来到系统管理的地方,慢慢摸索看看有没有妹子... 不看看有什么其他功能点,接着发现了有个邀请功能。
且使用短信功能进行邀请,根据邀请需求,创建一个公司和角色,邀请测试手机号加入公司
在web页面尝试了一些小手段,没有造成危害的参数,但抓包的过程当中发现存在一个可控的url参数~于是大胆的做了一个尝试
先正常发送一个邀请短信,如下
分析一下,短信内容可见从https://xxx.example.com/#/login?redirect=invitation-user这一段是可被控制的
在个人服务器上起一个html文件做测试,链接为https://xxx.hack.com/hello.html
那么短信的内容便被修改为https://xxx.hack.com/hello.html¶ms=187564564586464
由于被后面的&符号限制了,所以直接访问并没有访问到该测试文件
此时可以使用#去注释掉后面的参数,根据下图:
添加个#号,发现后如下
03
结尾
防范恶意链接的主要措施包括以下几点:
-
保持系统和应用程序的更新:及时更新操作系统、浏览器、杀毒软件和其他应用程序,确保所有软件都保持在最新版本,以防止利用已知漏洞1。
-
使用安全可靠的浏览器和插件:选择知名的浏览器如Chrome、Firefox等,并只下载和安装来自官方渠道的浏览器插件和拓展程序,避免安装恶意插件1。
-
不轻信、不点击不明链接:避免点击未经验证的链接,尤其是来自陌生邮件、短信或社交平台的链接。可以在搜索引擎中搜索相关关键词,验证链接的可靠性1。
-
使用防火墙和安全软件:安装防火墙和可信赖的杀毒软件,定期进行系统扫描和检查,确保系统中没有恶意软件1。
-
加强个人信息保护:不在不可信的网站留下个人信息,如姓名、地址、手机号码、银行账号等,避免个人信息被窃取和利用1。
-
定期备份数据:定期备份重要的个人和企业数据,将数据存储到云中或离线设备中,以减少遭受攻击后的损失1。
-
寻求专业的安全服务与支持:对于个人用户、小型企业或没有专业安全团队的组织,可以寻求专业的安全服务与支持,帮助检测和阻止恶意链接攻击1。
通过以上措施,可以有效防范恶意链接的威胁,保护个人和企业的网络安全。
【END】
【版权说明】
原文始发于微信公众号(Rot5pider安全团队):逻辑漏洞之短信内容可控漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论