邏輯漏洞概述
SQL 注入,文件上傳,代碼執行,我們把滲透一個站點的所有重點都放在了這些可以一步到位的漏洞上,我們把這些漏洞稱之爲高危漏洞,這些漏洞在工具化盛行的今天,已經越來越難見到了.現有的工具檢測這些主流漏洞的能力已經非常的強大,我們在一般的測試中,只要掌握這些工具的用法,就可以輕易檢測到這些問題的所在,所以企業開始慢慢從關注自身安全轉移到關注用戶安全,而邏輯漏洞就是被廣泛關注的對象。
概述
我們對常見的漏洞進行過統計,發現其中越權操作和邏輯漏洞佔比最高,在我們所測試
過的平臺中基本都有發現,包括任意查詢用戶信息、任意刪除等行爲;最嚴重的漏洞出現在
賬號安全,包括重置任意用戶密碼、驗證碼暴力破解等。
在 OWASP Top 10 中也有所提及,分別爲不安全對象引用和功能級別訪問控制缺失。
其中不安全對象引用指的是平行權限的訪問控制缺失,比方說,A 和 B 兩個同爲一個網站的普通用戶,他們之間的個人資料是相互保密的,A
用戶的個人資料可以被 B 用戶利用程序訪問控制的缺失惡意查看,由於 A 用戶和 B
用戶之間是一個同級的賬號,因此稱爲平行權限的訪問控制缺失。
功能級別訪問控制缺失指的是垂直權限的訪問控制缺失,比方說,A 賬號爲普通賬號、B 賬號爲管理員賬號,B 賬號的管理頁面時必須是以管理員權限登錄後方可查看,但 A 賬號可通過直接輸入管理頁面 URL 的方式繞過管理員登錄限制查看管理頁面,由於 A用戶和 B用戶的權限是垂直關係,因此稱爲垂直權限的訪問控制缺失。該類型屬於業務設計缺陷的安全問題,因此傳統的掃描器是無法發現的,只能通過手工的滲透測試去進行檢查。在金融平臺中以平行權限的訪問控制缺失較爲常見。
這兩類其實在越權部分也有體現,就是平行越權與垂直越權,越權漏洞也是邏輯漏洞一部分
常見的邏輯漏洞
交易支付、密碼修改、密碼找回、越權修改、越權查詢、突破限制等各類邏輯漏洞。
如何挖掘邏輯漏洞
確定業務流程—>尋找流程中可以被操控的環節—>分析可被操控環節中可能產生的邏輯問題—>嘗試修改參數觸發邏輯問題
常見邏輯漏洞案例
任意修改用戶資料
任意查詢用戶信息
任意重置用戶密碼
惡意註冊
惡意短信
其它邏輯漏洞
交易支付中的邏輯問題
挑選商品加入購物車
確認購物車信息
輸入物流及收貨人信息
確認訂單進入支付環節
交易成功等待發貨
•加入購物車時是否可以修改購買數量爲負數,商品價格是否可以修改
• 確認購物車信息時是否可以修改商品數量爲負數,是否存在折扣限制突破問題,是否可以修改商品總金額
• 輸入物流信息時是否可以控制運費,如果可以,嘗試修改爲負數
• 確認訂單後跳轉支付接口時是否可以修改支付金額,可否不支付直接跳轉到交易成功環節
密碼修改邏輯漏洞
