逻辑让我瓦解之越权过程分享(续集) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

逻辑让我瓦解之越权过程分享(续集)

申博_安全预警 申博 171次浏览 已收录 0个评论

0x01 媒介

上回书说道~说道哪儿忘了~我们接着再说说。
【PS: 这是本身在日常平凡的测试中积聚并值得分享的一些测试履历,能够不能将题目探讨到多深切,愿望文中的思绪能有所用。】

0x02 “躲起来的”Form表单

1. 场景

就像小节题目提到的一样,注重那些“躲起来的”Form表单,许多场景下你是不是碰到过点击触发一个功用要求,然则返回的是空缺或许“无纪录”的提醒,要求中不包罗任何用户参数,这个时刻你注重了,是不是是有甚么东西是你脱漏掉了,脱漏了甚么触发前提?

2. 案例

如图有一个如许的功用点,点击“信用卡”功用后,要求返回通知你,该用户查询无纪录。这个时刻你要淡定了,So what?

逻辑让我瓦解之越权过程分享(续集)

接下来你要做的是甚么?对接口举行要求组织Fuzz?客长且慢……怕是你须要再确认一下,谁人躲在Form表单里的action是不是是为你早就备好了。

让我们看图措辞。这是点击“分期付款”功用时刻的要求,查询到以后上岸用户没有下挂账户,然则注重到最下面的谁人hidden起来的form表单了某?

逻辑让我瓦解之越权过程分享(续集)

让我们略加修正,看看结果怎样?看图措辞。
将input框稍作修正,增加一个value,给前端增加一点可挑选的账号的闲暇余地。

逻辑让我瓦解之越权过程分享(续集)

逻辑让我瓦解之越权过程分享(续集)

再敲个回车,看看结果,看看是不是后端已对这个接口做了鉴权呢?是不是能够……Bingo!

逻辑让我瓦解之越权过程分享(续集)

3. 多说几句

上面的案例须要注重几点:

是不是存在隐蔽的form表单;
后端是不是对此接口的查询操纵作了鉴权推断;

0x03 “犄角旮旯”的越权

1. 场景

”犄角旮旯“的越权,说起来是犄角旮旯,但实在有人测试的时刻预计每一个功用点都邑触发一遍,以是你也会发明总有一些功用点光看按钮看不出个以是然。

2. 案例

有这么一个查询接口查询汗青生意业务明细,图中所示:

逻辑让我瓦解之越权过程分享(续集)

挑选查询以后,涌现了几个按钮,“生存”、“打印”、“显现一切”、“生存一切”,一样平常状况说来“检察明细”、“检察概况”、“xx概况”等形貌的功用点都对应着某一流水单号的纪录状况,若是运用的处理体式格局不是在功用要求时悉数返回一切定单数据的话,那末这一点是极有能够存在题目的点。

此处的“概况”功用处已做了鉴权,没法经由过程修正流水单号查询他人信息。但题目点出在“显现一切”的功用点,运用的逻辑是在查询悉数纪录时,会为每一个用户对应一个id号,那末此处能够直接批量去查他人的账户生意业务信息,而且能够生存下载。

逻辑让我瓦解之越权过程分享(续集)

以下图所示,查询一切数据时,要求中包罗有FileName参数,为生存数据天生文档定名做预备。那剩下的只是遍历参数就好了。

逻辑让我瓦解之越权过程分享(续集)

3. 空话几句

案例中涉及到的点为一些看起来没有用然则实在存在破绽的接口,以是案例2的结论就是注重那些看似无害的”犄角旮旯“。罕见的几点如:查询、概况、明细、下载纪录等等功用点。

逻辑让我瓦解之越权过程分享(续集)

0x03 鸡肋越权

1. 场景

说是鸡肋越权,是由于在测试的时用了本身预备的两个测试账号,同时由于须要涉及到cookie的替代等操纵,有人能够会说:“这也太扯了,你都替代了cookie参数了,检察他人的信息那是一定能够的啊!”,但实在若是我下面的案例与你想的若干有些不符,也恰好我们一起来议论这个场景下的替代,是不是算不算是越权呢。

2. 案例

此案例中涉及到的信息以下:

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

A和B两个测试账号,A为攻击者,B为受害者;
账户A未设置付出暗码、B账户未知付出暗码;

现同时上岸两个账号,猎取cookie参数中的“mssc_sid”值。

逻辑让我瓦解之越权过程分享(续集)

以后对A账户举行操纵,检察账户状况,显现未设置付出暗码

逻辑让我瓦解之越权过程分享(续集)

随后举行设置暗码,点击“设置暗码”后,会首先发送要求校验以后cookie参数中的mssc_sid值,经由过程这个值来对以后用户身份举行辨认。

注:
这里为何要用一个未设置付出暗码的账户A呢?由于“未设置付出暗码账户”在设置暗码时与“已设置付出暗码账户”分歧,不须要校验原生意业务暗码,能够直接举行设置操纵。

此过程当中,阻拦要求将此参数替代为B账户mssc_sid值,绕过原暗码校验的同时,第一步“校验身份”会经由过程此账户辨认为账户B,并举行到第二步,设置付出暗码。

逻辑让我瓦解之越权过程分享(续集)

设置新的付出暗码,有人会问,若是另有第二步,是不是是也要一样的阻拦要求而且修正mssc_sid参数,谜底是固然不用了。虽然在这一步提交的要求包中mssc_sid参数值为A账户,后端以第一步校验的身份去设置暗码,也就是设置B账户的生意业务暗码会被修正,So,B账户付出暗码被修正咯。

逻辑让我瓦解之越权过程分享(续集)

逻辑让我瓦解之越权过程分享(续集)

3. 小结

本案例题目点:

未校验用户身份独一标识是不是为以后上岸账户所属;
用户举行操纵时,以第一次校验用户参数为准,未举行屡次校验;

这个案例有点鸡肋,其实不能够恣意的去重置某一用户的付出暗码,愿望给你了一点提醒,下次碰到一样的参数,能够测试是不是存在和案例中一样的题目逻辑。或许,当你碰到一样的情形时,你的破绽参数是有纪律可循的。

0x04 再谈HPP

1. 场景

HPP简称“HTTP Parameter Pollution”,HTTP参数污染,此处指就是给雷同参数赋上两个或两个以上的值,致使运用剖析毛病涌现越权破绽。话不多说,置信有许多人都晓得这类范例题目。

2. 案例

此案例以修正账户别号为例,经由过程HPP的体式格局能够修正一切上岸账户的别号和手机号码。

逻辑让我瓦解之越权过程分享(续集)

在用户A上岸后,存在如许一个功用设置点,能够设置修正A账户的账户别号。便于用户在举行各种生意业务时操纵,功用类似于电话本,轻易查找运用。

题目出在修正这个功用点,当你设置A账户别号、手机号后,挑选“确认修正“时,要求中包罗一个PayeeId参数,对照两个分歧的参数以后发明此处参数每一个参数均代表独一用户且在用户上岸状况下有用,别的我们能够看出,这个PayeeId编号前14位稳定,后4位纪律递增或随机的特性,OK,空话说多了,回到重点。

此处要求将别号设置为”1166661test“、手机号码设置为A账户手机号码,将B账户的PayeeId参数附带到以后账户PayeeId后,发明要求能够一般要求。

逻辑让我瓦解之越权过程分享(续集)

经由过程最直观的体式格局,上岸B账户检察别号设置状况,我们不难发明B账户的账户别号已设置为”1166661test“,同时手机号码也改为了A账户的手机号码。

PS: 或许有人会问这个处所能够批量么?回覆是固然能够,由于破绽参数虽然是20位长度的字符串,但前14位稳定,后四位就算不是递增,爆破的难度也不大。另若是连系此处的存储型XSS,能够将可应用水平提拔。

逻辑让我瓦解之越权过程分享(续集)

3. 无空话可说

HPP已有许多人晓得的,以是没有甚么特别要申明的,若是有人想要相识的话,自行去搜刮吧,有许多很细致的诠释。

0x05 末了

本身实验依据这两篇文做了个流程图,每一个体式格局方法的终究归属看起来都照样回归到了通例越权,愿望下次我还能发明不一样的题目来分享。

逻辑让我瓦解之越权过程分享(续集)


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明逻辑让我瓦解之越权过程分享(续集)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址