用户
搜索
  • TA的每日心情

    2017-9-1 15:55
  • 签到天数: 23 天

    连续签到: 1 天

    [LV.4]偶尔看看III

    i春秋签约作家

    蜂巢网络安全

    Rank: 7Rank: 7Rank: 7

    12

    主题

    126

    帖子

    112

    魔法币
    收听
    1
    粉丝
    2
    注册时间
    2016-6-2

    i春秋签约作者

    发表于 2017-5-12 14:50:23 157562
    本帖最后由 by天天 于 2017-9-15 05:37 编辑

    逻辑漏洞之验证码功能缺陷

    1.介绍
    验证码就是每次访问页面时随机生成的图片,内容一般是数字和字母(更BT点的有中文,现在已经升级到图片,动画等验证码),需要访问者把图中的数字字母填到表单中提交,这样就有效地防止了暴力破解。验证码也用于防止恶意灌水、广告帖等。在登陆的地方访问一个脚本文件,该文件生成含验证码的图片并将值写入到session里,提交的时候验证登陆的脚本就会判断提交的验证码是否与session里的一致。目前常常会出现验证码失效或者被绕过的可能,也成为了当前产生web漏洞的一个问题。

    2.测试方法
    (1)登陆页面是否存在验证码,不存在说明存在漏洞,完成检测
    (2)验证码和用户名、密码是否一次性、同时提交给服务器验证,如果是分开提交、分开验证,则存在漏洞
    (3)在服务器端,是否只有在验证码检验通过后才进行用户名和密码的检验,如果不是说明存在漏洞。(检测方法:输入错误的用户名或密码、错误的验证码。观察返回信息,是否只提示验证码错误,也就是说当验证码错误时,禁止再判断用户名和密码。)
    (4)验证码是否为图片形式且在一张图片中,不为图片形式或不在一张图片中,说明存在漏洞,完成检测
    (5)生成的验证码是否可以通过html源代码查看到,如果可以说明存在漏洞,完成检测
    (6)生成验证码的模块是否根据提供的参数生成验证码,如果是说明存在漏洞,完成检测
    (7)请求10次观察验证码是否随机生成,如果存在一定的规律(例如5次后出现同一验证码)说明存在漏洞,完成检测
    (8)观察验证码图片中背景是否存在无规律的点或线条,如果背景为纯色(例如只有白色)说明存在漏洞,完成检测
    (9)验证码在认证一次后是否立即失效

    3.加固建议
    (1)系统在开发时注意验证识别后销毁session中的验证码。
    (2)限制用户提交的验证码不能为空
    (3)判断提交的验证码与服务器上存储的是否一致
    (4)无论是否一致,都将服务器上存储的验证码清空


    逻辑漏洞之并发漏洞
    1.介绍
    并发漏洞,常属于逻辑业务中的漏洞类型,例如攻击者通过并发http/tcp请求而达到次获奖、多次收获、多次获赠等非正常逻辑所能触发的效果。下面以简化的例子说明在交易的Web应用程序中潜在的并行问题,并涉及联合储蓄帐户中的两个用户(线程)都登录到同一帐户试图转账的情况:
    帐户A有1000存款,帐户B有1000存款。用户1和用户2都希望从帐户A转100分到帐户B.
    如果是正确的交易的结果应该是:帐户A 800分,帐户B 1200分。
    然而由于并发性的问题,可以得到下面的结果:
    用户1检查帐户A ( = 1000 分)
    用户2检查帐户A ( = 1000 分)
    用户2需要从帐户A 拿取100 分( = 900 分) ,并把它放在帐户B ( = 1100分)
    用户1需要从帐户A 拿取100分(仍然认为含有1000 个分)( = 900 分) ,并把它放到B( = 1200 分)
    结果:帐户A 900 分,帐户B 1200 分。

    2.测试方法
    (1)发送并发http/tcp请求,查看并发前后CGI 功能是否正常。例如:并发前先统计好数据,并发后再统计数据,检查2次数据是否合理.

    3.加固建议
    (1)对数据库操作加锁


    逻辑漏洞之Slow Http attack、慢速攻击
    1.介绍
    慢速攻击基于HTTP协议,通过精心的设计和构造,这种特殊的请求包会造成服务器延时,而当服务器负载能力消耗过大即会导致拒绝服务。HTTP协议规定,HTTP Request以\r\n\r\n(0d0a0d0a)结尾表示客户端发送结束,服务端开始处理。那么,如果永远不发送\r\n\r\n就会产生慢速攻击的漏洞,常见的Slowloris就是利用这一点来做DDoS攻击的。攻击者在HTTP请求头中将Connection设置为Keep-Alive,要求Web Server保持TCP连接不要断开,随后缓慢地每隔几分钟发送一个key-value格式的数据到服务端,如a:b\r\n,导致服务端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者傀儡机来做同样的操作,服务器的Web容器很快就被攻击者占满了TCP连接而不再接受新的请求\r\n\r\n, 每隔几分钟写入一些无意义的数据流, 拖死机器

    2.测试方法
    (1)通过web扫描工具,可发现该类漏洞,但不一定准确。
    (2)通过kali环境下的slowhttptest工具来进行检测,它是一款对服务器进行慢攻击的测试软件,包含了几种攻击方式,像Slowloris、SlowHTTP POST、Slow Read attack等。在执行相关的命令或者参数后,发现网站访问缓慢,则存在该漏洞
    8V]@U6S41$}SMFZC8YP4}KU.png

    加固建议
    (1)目前在应用层没有特别好的修复方式,但可以通过部署web防火墙或者入侵防御检测系统来降低该风险。
    (2)如果是同一IP,在防火墙策略中把IP封掉。
    (3)加长连接超时时间、出错时重新连接、等手法


    逻辑漏洞之短信轰炸
    1.介绍
    短信轰炸攻击时常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞。

    2.测试方法
    (1)手工找到有关网站注册页面,认证页面,是否具有短信发送页面,如果有,则进行下一步。
    (2)通过利用burp或者其它抓包截断工具,抓取发送验证码的数据包,并且进行重放攻击,查看手机是否在短时间内连续收到10条以上短信,如果收到大量短信,则说明存在该漏洞。

    3.加固建议
    (1)合理配置后台短信服务器的功能,对于同一手机号码,发送次数不超过3-5次,并且可对发送的时间间隔做限制。
    (2)页面前台代码编写时,加入禁止针对同一手机号进行的次数大于N次的发送,或者在页面中加入验证码功能,并且做时间间隔发送限制。

    评分

    参与人数 1魔法币 +3 收起 理由
    爱春夏秋冬 + 3 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    yyyxy 管理员 六国战旗移动展示平台! 秦 楚 燕 魏 齐 赵
    来自 12#
    发表于 2017-5-19 14:07:42

    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    0
    写的很棒,可惜太过简短,建议下次搭配一些案例。

    欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!投稿请加我QQ:286894635。
    i春秋-楚:533191896
    i春秋-燕:129821314
    i春秋-齐:417360103
    i春秋-秦:262108018
    使用道具 举报 回复
    发表于 2017-5-12 15:46:54
    沙发
    使用道具 举报 回复
    板凳                 
    使用道具 举报 回复
    发表于 2017-5-12 21:31:45
    没有具体的使用方法?,漏洞平台会收吗
    使用道具 举报 回复
    发表于 2017-5-12 22:18:40
    r00kie 发表于 2017-5-12 21:31
    没有具体的使用方法?,漏洞平台会收吗

    只讲技术点,这个要求有一定的知识储备,技术水准。  实战渗透测试违法,且行且珍惜,
    使用道具 举报 回复
    发表于 2017-5-13 22:51:37
    我感觉像nsfocus的内部文档,大哥你那里来的。
    使用道具 举报 回复
    怎么有点Ctrl+C / V的感觉。。。
    使用道具 举报 回复
    发表于 2017-5-15 16:51:50
    感谢分享!!!!
    使用道具 举报 回复
    发表于 2017-5-15 21:03:30
    使用道具 举报 回复
    发表于 2017-5-17 08:33:16
    写的不错,受教了
    使用道具 举报 回复
    写的挺好的
    使用道具 举报 回复
    发表于 2017-5-20 14:57:04

    残笑大大 嘿嘿嘿
    做自己的自己 和平年代的炮灰,战争年代的爆破鬼才
    使用道具 举报 回复
    发表于 2017-5-20 17:49:50
    yyyxy 发表于 2017-5-19 14:07
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!

    ...

    只讲理论 不去实战,现在不拿自己生命开玩笑
    使用道具 举报 回复
    发表于 2017-5-22 07:15:37
    学习一下
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册