最近在挖各大src,主要以逻辑漏洞为主,想着总结一下我所知道的一些逻辑漏洞分享一下以及举部分实际的案例展示一下,方便大家理解。
主要从两个方面看,业务方面与漏洞方面。(接下来就从拿到网站的挖掘步骤进行逐一介绍各个逻辑漏洞)
一 、业务注册:
1.短信轰炸/验证码安全问题/密码爆破/邮箱轰炸
上面这个属于利用了burp中的intruder插件遍历了差数,导致短信**漏洞产生。遍历几个参数设置好payloads即可,具体看图操作。我个人来说特别喜欢测各种各样的短信**漏洞。其他测试方法接着往下看有专门写短信**。邮箱**与其相同方式。
2.用户任意注册/批量注册
3.枚举用户名
4.XSS (在这里的话其实就是说遇到框你就插xss即可,即使大部分不执行,还是会遇到一些奇葩的地方,不信你接着看图)
另外再注册名字的窗口处也可以插入xss,虽然危害小,但是你可以找找其他漏洞,打组合拳也说不定哦!
登录:
1.短信轰炸/验证码安全问题/密码爆破/邮箱轰炸
2.SQL注入
3.撞库
4.抓包把password字段修改成空值发送
5.认证凭证替换/比如返回的数据包中包含账号,修改账号就能登陆其他账号
6.Cookie仿冒
7.修改返回包的相关数据,可能会登陆到其他的用户
找回密码:
1.短信邮箱轰炸/短信邮箱劫持
2.重置任意用户密码/验证码手机用户未统一验证
3.直接跳过验证步骤
购买支付/充值(主要还是利用抓包需要仔细的去看每一个可用参数)
1. 交易金额/数量修改,替换支付模块 (这里也就是更换了支付的模块金额)
2. 交易信息订单编码/导致信息泄露
3. 整数溢出,int最大值为2147483647,超过最大值
4. 修改充值账户
5. 支付绕过
抽奖活动
1. 刷奖品/积分
2. 并发
优惠券/代金券
1. 并发逻辑漏洞(burp或者fd批量获取优惠劵等)
2. 修改优惠券金额/数量
订单信息
1. 订单信息遍历/泄露
2. 订单信息泄露导致用户信息泄露
3. 删除他人订单
会员系统
1. 修改个人信息上传文件,上传带弹窗的html
2. 如遇上上传xlsx/docx,可能存在xxe,上传恶意的文档盲测
3. 图片上传也可能遇到imagereagick命令执行,上传恶意图片
4. 视频上传如果使用ffmpeg<3.2.4(视频按帧分割成图片),上传恶意avi盲测ssrf
5. 用户横向越权访问/遍历/导致用户信息泄露
6. SQL注入/个人简介处存储XSS 个人信息注册的名称也可以插入xss
传输过程
1. 明文传输账号密码
2. 修改信息处无session/token导致csrf
3. POST/COOKIE注入
评论
1. POST注入/存储XSS
2. 无session/token导致CSRF
二、漏洞处验证码问题
1. 万能验证码
2. 返回包中存在验证码
3. 删除验证码或者cookie中的值可以爆破账号密码
短信轰炸
1. 一直重放
2. 删除修改cookie,重放数据包
3. 遍历参数发送数据包
4. 手机号后面加空格或者前面加其他的比如+86或者逗号分号等,然后重发数据包
5. 请求参数修改大小写,或者添加请求参数比如&id=1
6. 一个站的登陆处可能做了防护,但是再找回密码处可能没有安全防护,或者在注册流程中没有安全防护,所以说多测试接口
7. 如果对手机号一天次数进行了限制的话,还可以在进行发送一次短信,DO intercept之后修改为成功回显
水平越权
1. 主要登陆后还是修改参数,主要找到多个接口不断测试
2. 关注网页源代码,有时候会有表单,但是被bidden(隐藏标签)给隐藏起来了,可以修改返回包然后尝试获取数据检测
3. 多个账号,主要分析请求参数
数据泄露
1. 在找回密码处,填写数据后抓包查看返回信息,有可能存在敏感数据返回
任意用户密码重置
1. 目前大部分都是在修改密码处参数修改
2. 有些是前端验证
三、支付逻辑漏洞