朋友某资讯平台要上线,简单的对他账号认证这一块做了一下安全测试。repeater暴露出来的若干问题:
先找到了Login登录口,短信验证码的请求抓包,然后放到repeater里面疯狂的gogogogo
然后就发现自己被短信轰炸的一脸懵逼
tips:短信轰炸原理 有专门的提供短信接口的服务商,而网站买了服务商的业务。但在网站的后端逻辑上存在问题,如未对请求频率进行限制等。就产生了定向轰炸。即为我们常说的短信轰炸机。上面所说的是定向用户的短信高频率的发送信息,造成的短信轰炸。
而有的网站后台进行限制,禁止向一个用户发送一天超过5条的数量限制。但攻击者则可以进行水平方向的手机号遍历。
网站都是买的短信服务。1000条短信多少多少钱;而该问题直接导致了大量的短信资源浪费)。
抓一下接收短信验证码的请求,放在repeater里面重放一下,我手机就收到了铺天盖地的验证码
就一个repeater就发现了若干个问题:
网站上的验证码未更新,可以被攻击者暴力猜解。
短信验证码为四位数且为30分钟,为暴力猜解给出了想当长的时间。
没有限制发送短信验证码的次数和频率,可恶意消耗企业资源。
简单的任意账户密码重置
我们随便输入一个四位数验证码,点击注册后抓到了request请求扔进intruder准备暴力。Payload我们这里选择Bruteforcer设置为四个纯数字,不过是1000个数字,而且是30分钟失效。并且为了防止触发waf,可以把线程调低一些。
Intruder经过一段时间的便利后,我们发现了有个数据包明显跟别的长度是不一样的。大家在使用intruder功能时可以关注length,数据包我们是不可能一个个去翻着看的。而筛选出数据包特征,则便于我们方便的查看漏洞信息
水平越权导致全平台两万用户存在风险
经过刚才的问题,我们已经可以通过手机扫号进行盗取任意账户了。如果手机号存在,我们就可以点击获取验证码后,暴力的去破解验证嘛。但如何才能盗取全平台账户,只通过手机扫号则是个棘手的问题了。我们把刚才的网址链接取出来,则是这样的http://xxx.xx.com.cn/index.php/Login/login_xxx_pwd.html?niuerid=21926
但是url挺有意思,突然感觉事情好像没有这么简单……niuerid???
这个参数疑似为用户的ID,例如每个账户都会有一个ID。我又创建了一个账号进行复验,拿到自己的niuerid。最后,一个url就可以通过niuerid改掉我新账号的密码。也就是说,我们打开这个网址,就可以水平越权所有平台账户
分析一下
至此为止,我们发现俩中低危。手机验证码无限重放漏洞+水平越权。
这里给出的安全意见:
1、手机验证码至少是6位,而且限制访问次数。
2、每个账号重置的地址,应该是绑定权限的,不能只通过一个参数就重置这么简单。
相关实验合天网安实验室也已上线,欢迎小伙伴们前去实践
Burp 暴力破解
实验简介:
通过该实验掌握burp的配置方法和相关模块的使用方法,对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题,以此加强网站安全。
实验链接:http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014112610341500001
权限绕过
实验简介:
越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。通过该实验了解权限绕过漏洞,掌握常见的权限绕过漏洞原理以及漏洞检测利用和漏洞防护。
实验链接:http://www.hetianlab.com/expc.do?ec=ECIDee9320adea6e062018031511354800001
声明:漏洞已拿去修复,后续的安全测试没贴,毕竟人家是需要上线的业务。笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关。
网友评论