51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2211|回复: 5
打印 上一主题 下一主题

浅谈APP漏洞挖掘之逻辑漏洞

[复制链接]
  • TA的每日心情
    奋斗
    2017-3-21 11:15
  • 签到天数: 33 天

    连续签到: 1 天

    [LV.5]测试团长

    跳转到指定楼层
    1#
    发表于 2016-10-2 14:24:12 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    0x00 简介
      本文主要介绍APP漏洞挖掘中逻辑漏洞,包括任意用户密码重置,支付漏洞,任意用户未授权登录。
      0x01 任意用户密码重置正文
      首先,我们来看看任意用户密码重置。  
      方法一:密码找回的凭证太弱,为4位或6位纯数字,并且时效过长,导致可爆破从而重置用户密码。
      这里我们来看一个实例,目前厂商已经修复。
      file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1D80.tmp.jpg
      验证码为4位纯数字,我们使用burpsuite爆破。
      file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1D81.tmp.jpg
      可以看到成功爆破出了。4位数字0~9有9999种可能,我们线程设置10,五分钟之内就可以爆破出凭证。
      方法二:验证码传输在数据包中。
      这里共有两种可能,一种在返回包,一种在获取验证码的数据包中。我们来看两个实例。
      第一个:验证码在返回包中
      在输入好手机号点击下一步时,我们抓包,截取返回包。
      file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1D82.tmp.jpg
    file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1D92.tmp.jpg
    file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1D93.tmp.jpg
      第二个:验证码在获取验证码的数据包中
      file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1D94.tmp.jpg
      Checkcode后面的六位数字就为验证码了,这种情况我只见过一次。
      方法三:输入好凭证后,重置密码时替换手机号。
      看个实例:
      这款APP重置密码分为两步,第一步是输入手机号获取验证码并填入,正确后即跳转到下一步,然后就是输入新密码。我们在输入新密码后抓包,替换手机号放包即可重置。
      file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1D95.tmp.jpg
      方法四:修改返回包内容,把错误的改为正确的。
      具体来看一个实例:
      我在输入好手机号获取验证码后,随便输入一个数字。然后抓包
      file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1D96.tmp.jpg
      截取返回包 修改1为0
      file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1D97.tmp.jpg
      方法五:获取验证码时手机号为明文,修改为自己的从而达到欺骗验证。
      这种方法由于我在挖掘APP漏洞中暂时没有遇到,所以无法找到APP实例,但是有一个WEB实例,这里也贴上来,思路方法都是一样的。WEB实例作者:离心
      file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1DA8.tmp.jpg
      改为自己的,即可收到验证码。
      file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1DA9.tmp.png
      0x02 支付漏洞正文
      方法一:修改金额
      还是来看一个实例,确认支付时候抓包,截取返回包。
      file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1DAA.tmp.jpg
      file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1DBA.tmp.jpg
      嘿嘿,放包即可成功一毛钱买飞机杯^_^
      方法二:修改金额为负数。
      此方法我目前没有遇到过,所以不配实例,操作起来也是一样的。
      0x03 任意用户未授权登录
      方法一:登录时抓包,修改uid
        file:///C:\Users\tongll\AppData\Local\Temp\ksohtml\wps1DBB.tmp.jpg
      0x04 总结
      以上漏洞修复方法:找回密码凭证够复杂并且不可猜测,同时注意以上逻辑问题,不可存在越权,或者重要的凭证在不该出现的地方出现。

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏3
    回复

    使用道具 举报

    该用户从未签到

    3#
    发表于 2016-12-12 09:43:55 | 只看该作者
    图呢?能不能说点在详细点呢?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-7-8 09:00
  • 签到天数: 943 天

    连续签到: 1 天

    [LV.10]测试总司令

    5#
    发表于 2016-12-13 15:30:00 | 只看该作者
    感谢楼主分享   顶下
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    6#
    发表于 2017-1-12 15:03:52 | 只看该作者
    谢谢,步骤能在清楚点就好了。
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-25 14:15 , Processed in 0.064251 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表