逻辑漏洞总结

一、水平垂直越权

原理:开发人员对数据进行增,删,改,查询时对客户端请求数据时没有进行严格的权限判断,从而导致了水平和垂直越权漏洞。

水平越权:水平越权访问是一种“基于数据的控制访问”设计缺陷引起的漏洞,由于服务器端在接受到请求数据进行操作时没有判断数据的所属人/所属部门等而导致的越权数据访问漏洞。

垂直越权:基于“URL的访问控制”设计缺陷引起的漏洞。

防御方法:

  1. 前后端同时对用户输入信息进行校验,双重验证机制
  2. 调用功能前验证用户是否有权限调用相关功能
  3. 执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限
  4. 直接对象引用的加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理
  5. 永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤

二、登录处逻辑漏洞

暴力破解:网站没有对用户输入账号密码次数进行限制。

本地加密传输:明文传输

cookie脆弱性:永久性cookie,cookie缺少httponly属性(未开启httponly,网站存在xss漏洞时攻击者能获取用户cookie值)

session劫持:session密码与证书认证手段,一般用于登录过程中,用户登录成功后通过session记录跟踪用户的状态

密文比对认证:在系统登录时密码加密正确流程是先将用户名和密码发送到服务器,服务器会把用户提交的密码经过Hash算法加密及加盐后和数据库中存储的加密值比对,如果加密值相同,则判定用户提交密码正确。

三、业务处逻辑漏洞

订单ID、手机号码、用户ID、商品ID、其他

支付漏洞总结:https://www.secpulse.com/archives/67080.html

四、验证处逻辑漏洞

暴力破解:比如用户登陆验证码是由四位/六位纯数字的,并且没有做任何安全策略时,我们可以在短时间内使用暴力破解的方式来猜测验证码

绕过测试:使用burp,使用Do intercept——>Response to this request功能将Flash改成ture修改数据包在发送,可能会造成绕过。

五、数据提交处逻辑漏洞

支付篡改:在支付过程中将支付改为复数或者最少支付金额。

数量篡改:在提交支付界面时,抓包将数量改为复数。

请求重放:相当于中间人攻击

其他:

六、密码找回处逻辑漏洞

客户端回显:验证码在数据包中显示。

Response状态值

session:找回密码到了邮箱验证这一步骤,打开邮箱,不要在邮箱点击重置密码的链接,复制链接在同一浏览器打开

弱token缺陷:观察重置密码步骤数据包中字符串,是否和验证身份步骤中的字符串相同。相同–>尝试绕过验证步骤,不同–>尝试token可控

找回流程绕过:可通过利用找回的邮箱链接地址,mobile等参数绕过找回流程

七:接口调用处逻辑漏洞

调用遍历:比如短信轰炸调用多个短信验证码等平台API接口,来进行短信轰炸

参数篡改

未授权访问:因配置不当造成的漏洞,攻击者可以无需认证访问到内部数据

webservice测试:

callback自定义:callbacke接口自定义参数有可能会造成XSS漏洞

赞(0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址