零、前言
最近做专心web安全有一段时间了,但是目测后面的活会有些复杂,涉及到更多的中间件、底层安全、漏洞研究与安全建设等越来越复杂的东东,所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘。不是大神、博客内容非常基础,如果真的有人看而且是大牛们,请不要喷我,欢迎指正我的错误(水平有限)。
一、越权:
1、本质:
某账户拥有了超出它应有权限范围外的操作许可权。
2、分类:
(1)水平越权:横向拥有了同等安全等级、密级等衡量标准账户的权限。
(2)垂直越权:纵向拥有了更高安全等级、密级等衡量标准账户的权限。
3、一般越权发生的位置:
(1)修改、重置、找回其他账户密码。
(2)查看、修改其他账户未公开的信息,例如个人资料、文件、数据、程序等。
(3)其他应与账户关联的权限操作。
4、发生越权行为的开发级原因以及防御办法:
涉及用户信息的操作需要验证用户身份,比如查看各种用户信息的情况下,不能只根据用户uid去搜索,应该再次进行身份验证。可以在session或者cookie中加入不可预测、不可猜解的user信息,或者特别敏感的操作应该再次让用户输入password或者其他用户验证信息。
5、检测手段:
(1)STEP1:查看所有敏感涉及到账户的操作是否有除了UID之外的验证方式,没有的话构造uid访问,可检查是否有漏洞,这里的uid代指username、email、userid 等声称的账户信息。
(2)STEP2:如果有验证参数,尝试是否是可以预知的或者可以猜测出来的。不是,没有漏洞,是,有漏洞,构造请求验证漏洞。
二、会话逻辑:
1、session的问题:
(1)sessionid简称sid,应在登录成功之后进行重置,一般保存在cookie中,set-cookie重置即可。否则会导致Session Fixation攻击。
(2)sessionid应当在合理时间内过期,否则将导致session保持攻击,也就是别人利用cookie登录以你的身份登录。
三、业务逻辑:
1、支付类逻辑漏洞
(1)修改商品为负数(可能会增加攻击者账户对应的真实或虚拟财富值)
(2)修改单价、总价、运费价(修改为负数,改小等)攻击者获取利益。
(3)修改价格字段值为字符串,尝试攻击服务器异常抛出逻辑错误,例如,总价异常抛出是修改为0。
2、信息轰炸类漏洞
(1)短信轰炸、邮件轰炸、私信轰炸。
(2)可能发生的地方:
(2.1) 注册验证码获取(邮件短信)
(2.2) 注册激活邮件获取(邮件)
(2.3) 密码找回验证(邮件短信)
(2.4) 支付类信息、验证码验证(短信)
(2.5) 站内信、私信发送处(私信、站内信)
(3)测试方法:抓到发送短信、邮件、私信、站内信的报文,不断重放。
3、针对用户拒绝服务攻击
(1)指定目标用户,拒绝其服务进行攻击。
(2)逻辑漏洞,验证信息多次错误尝试可能导致用户被封锁。
(3)漏洞地点:验证发生的任何地方(注册、支付、密码找回、密码修改、登录、敏感操作等)
(4)测试办法:重放错误验证信息的报文。
四、暴力破解:
1、验证码。
2、频率试错控制。