专栏首页贝塔安全实验室逻辑漏洞挖掘经验

逻辑漏洞挖掘经验

本文作者:云顶(贝塔安全实验室-核心成员)

简单说明一下:逻辑漏洞可以分为很多种web逻辑漏洞、业务逻辑漏洞、支付逻辑漏洞等等 其中有部分漏洞都是大体相似的,所以鄙人就不再做归类总结了

步入正题~~~~~~

0x01:常见的逻辑漏洞

1.欺骗密码找回功能(构造验证码爆破)

程序根据一个验证码来确定是否是用户本人,但攻击者可以暴力猜解验证码

2.规避交易限制(修改商品价格)

攻击者篡改数据包,使得购买得商品参数错误或无法验证造成得溢出

3.权限缺陷(水平越权、垂直越权)

攻击者更改数据包中用户得ID来访问指定用户得敏感信息或者冒充其他用户发布信息

4.cookie、token和session得验证问题(令牌验证时效性)

攻击者预先知道用户得ID,可以构造一个cookie、token或session值为ture可以绕过令牌认证

5.浏览设计缺陷(顺序操作)

攻击者在购物过程中强制绕过支付过程,直接从加入购物车步骤跳到填写收货地址步骤,有绕过的情况。

0x02:支付逻辑漏洞

1.修改金额

2.修改商品数量

3.修改优惠金额

4.修改数量、单价、优惠价格参数为负数或者小数,无限大 造成溢出

5.修改商品价格

6.支付key泄露

0x03:简单找了几个案例

一、密码爆破

这是最暴力最血腥的也是万般无奈之后的希望

密码爆破往往出现再登录框需要输入账号密码的地方

提示密码不正确,可以简单的判断账号是有了。

二、权限缺失

权限缺失可以导致任意用户查看、水平越权、垂直越权、未授权访问、任意修改用户密码等等

一般可以通过修改用户id、用户查询页面

垂直越权+任意用户修改权限

水平越权

(这里也算是令牌失效 只需要修改id号就能查看到其他用户)

三、支付漏洞

这一般出现再订单提交过程中、通过抓包修改数据包达到目的、可以修改的东西很多 比如:产品价格、订单信息、优惠卷金额、等等

修改其他信息就不再进行一一演示操作了。

支付类型的逻辑漏洞多在在于抽奖、集卡、购物平台等需要支付的地方

0x04:降低逻辑漏洞设计造成的建议

1. 安全代码审计中严格控制用户用户得请求和修改得参数

2. 清晰记录保存设计方案,以便审查

3. 审查代码时要做出假设,想象假设被为背后得每种情况

4. 程序与代码关联之间的依赖操作需要考虑造成的影响

5. 用户与管理员的权限要独立控制

本文分享自微信公众号 - 贝塔安全实验室(BetaSecLab),作者:云顶

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 记一次有趣的挖矿病毒

    本病毒使用了去符号表、敏感信息混淆、int 0x80执行系调函数、sh -c 执行bash脚本获取相关信息等技术来做免杀处理,但是不足的点也很明显:

    贝塔安全实验室
  • 这可能是最适合萌新入门Web安全的路线规划

    最近在后台经常收到粉丝问,Web安全有没有什么路线。确实,Web安全的范围实在太大,哪些先学,哪些后学,如果没有系统的路线会降低大家效率,对于刚入门的同学们来说...

    贝塔安全实验室
  • Apache Solr RCE

    10⽉30⽇,国外研究⼈员S00pY,公开了Apache Solr的命令执⾏漏洞的利⽤⽅式。经验证,漏洞可以成功触发,官⽅暂未发布补丁。

    贝塔安全实验室
  • 【重磅推荐】群邑数字媒体报告:CPMs上升,双头垄断统治,电子商务迅速发展

    主编推荐:这篇文章解释了不少我们心头的疑惑,为什么流量价格一直上涨?虽然发生在美国,但却似乎完完全全是国内的写照。特别推荐大家阅读。

    iCDO互联网数据官
  • SEO工具脚本,Python百度普通收录API提交工具

    百度收录问题一直是不少渣渣头痛的问题,而官方其实提供了普通收录和快速收录这样的接口,直接调用官方api接口,大力出奇迹,你需要相信,你尽管seo,有排名算我输,...

    二爷
  • 如何设计一个 A/B test?

    作者:刘健阁(Jiange Liu),PCG 数据分析师 实验设计 AB Test 实验一般有 2 个目的: 判断哪个更好:例如,有 2 个 UI 设计,究竟...

    腾讯大讲堂
  • 【Excel心得】一个操作、三种函数,完美解决Excel中时间/日期格式不统一问题!

    老师/上级给了你一个任务: 有几张excel表格(.xlsx文件),要你把大家的获奖记录统计到一个excel表格里。

    Piper蛋窝
  • Golang语言社区--【基础知识】范围规则

    在任何编程程序的作用域,其中一个定义的变量可以有它的存在,超出该变量的区域就不能访问。有三个地方变量可以在Go编程语言声明如下: 内部函数或这就是所谓的局部变量...

    李海彬
  • 【腾讯云的1001种玩法】如何腾讯云存储上搭建一个hexo博客

    一.选型我要写文章做博客,我对网站的要求是:1.可以绑定域名,2.访问速度快,3.价格非常便宜,4.不需要操心维护,5.更新方便。 目前有4个选择:1.IaaS...

    李鑫
  • 高性能网站架构方案(二)——优化网站响应时间

    高性能网站架构方案(二)——优化网站响应时间 (原创内容,转载请注明来源,谢谢) 一、概述 优化网站响应时间是保证网站受用户关注的要点,主要方案有: 1、减...

    用户1327360

扫码关注云+社区

领取腾讯云代金券