用户
搜索
  • TA的每日心情
    开心
    2018-9-11 11:32
  • 签到天数: 7 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋-核心白帽

    Rank: 4

    84

    主题

    110

    帖子

    1196

    魔法币
    收听
    0
    粉丝
    19
    注册时间
    2016-6-6
    发表于 2018-11-13 14:15:14 713646

    本文中提供的例子均来自网络已公开测试的例子,仅供参考。

    本期带来绕过验证漏洞。为了保障业务系统的安全,几乎每个系统都会存在各种各样的验证功能。常见的几种验证功能就包括账号密码验证、验证码验证、JavaScript数据验证及服务端数据验证等等,但程序员在涉及验证方法时可能存在缺陷导致被绕过,于是斗哥总结了以下几种绕过验证的姿势和大家一起讨论讨论~

    讨论.webp.jpg

    客户端校验绕过

    客户端校验是常见的一种校验方式,也就是在客户端校验用户的输入,将校验结果作为参数发送至服务端,或利用前端语言限制用户的非法输入和操作。面对此类的校验方法可以通过修改前端语言或者在传输中对参数进行篡改来绕过验证。

    举个栗子:

    a). 某系统需要购买才能观看视频,不同的课程以ID划分。

    划分.webp.jpg

    b).  发现是否付费只靠前端js控制,更改courseID就可以看到不同的课程,recordURL就是视频播放的链接,无需登录即可播放。

    播放.webp.jpg

    c). 根据播放地址中的videoCode,可获取视频下载地址:

    http://*.*.*.*/v3/resource/video/queryurl?jsoncallback=cb&quality=3&audioIndex=0&types=1&videoCode={videoCode}

    所得urls为视频下载地址。

    下载.webp.jpg

    d). 通过脚本,可将全站视频下载下来。

    下载.webp (1).jpg

    客户端验证信息泄露

    程序员在编写验证程序时有可能会将验证信息直接泄露到客户端,攻击者就可以通过分析服务端的返回数据直接获得关键的验证信息从而完成验证。

    举个栗子:

    某免费wifi连接时需要使用发送到手机的密码进行验证,抓取发送密码的数据包时,发现密码返回客户端,导致任意全网账号可以登录联网。

    登记.webp.jpg

    客户端流程控制绕过

    程序员在编写验证程序时有可能会验证结果返回到客户端,由客户端根据服务端提供的验证结果进行下一步操作,攻击者可以通过篡改验证结果或直接执行下一步操作实现绕过。

    举个栗子:

    a). 某系统重置密码需要三个步骤,首先要输入图片验证码。

    验证码.webp.jpg

    b). 然后需要通过短信验证码验证身份。

    短信.webp.jpg

    c).访问http://*.*.*.*/a/user/findPasswordSetp 直接跳到重置密码的页面。

    直接.webp.jpg

    d). 可成功修改密码密码。

    成功.webp.jpg

    操作目标篡改绕过

    如果某操作采用了连续身份校验机制或身份校验过程与操作过程分离,可以尝试在身份验证过程中替换身份校验对象或操作对象实现绕过验证。

    举个栗子:

    a). 修改某系统的绑定手机。

    修改.webp.jpg

    b). 选择免费接收短信校验码修改。

    免费.webp.jpg

    c). 将修改的手机号改为自己的手机号码。

    自己.webp.jpg

    d). 通过修改的手机号码收到的校验码修改手机号。

    通过.webp.jpg


    e). 发现可以成功修改成新的手机号。

    成功.webp.jpg

    参数篡改

    程序猿小哥哥在编写验证程序时有可能会对验证码字段进行正确性校验,但当验证码字段不存在或为空时就直接通过校验。

    举个栗子:

    a).某系统存在绕过验证漏洞,抓取登录的数据包。

    数据包.webp.jpg

    b).删除验证码字段(securityCode)进行爆破。

    爆破.webp.jpg

    c). 爆破成功,并可以使用爆破出来的账号密码进行登录。

    账号.webp.jpg

    啦啦.webp.jpg

    辅助验证功能绕过

    为了验证用户身份或者避免攻击者使用自动化工具进行批量操作,应用程序可能会采用辅助验证功能,常见的辅助验证功能包括图片验证码、短信验证码、邮箱验证,这些功能在设计时如果存在缺陷则可以被绕过,导致辅助验证功能失效。

    举个栗子:

    a). 访问某系统,一开始页面无验证码。

    访问.webp.jpg

    b). 输错一次之后,出现验证码。

    输错.webp.jpg

    c). 尝试进行爆破,抓取第一次无验证码的数据包,发现会提示需要验证码。

    尝试.webp.jpg

    d). 多次尝试之后发现,验证码是通过cookie中的PHPSESSID来判断的。

    判断.webp.jpg

    e). 修改PHPSESSID后成功绕过验证码限制。

    修改.webp.jpg


    f). 成功爆出账号。

    成功.webp.jpg


    好啦,斗哥对于绕过验证的总结就到这里啦,对于绕过验证的修复斗哥有一点点建议:

    1.所有验证在服务端进行,验证问题的答案不能以任何形式返回客户端中(如图片验证码答案、短信验证码、验证问题答案等)。

    2.验证结果及下一步跳转操作由服务端直接进行。

    3.应尽可能避免采用连续身份验证机制,无论采用何种验证机制,只有当所有的数据输入以后,才进行身份验证数据的验证。

    qrcode_for_gh_223e082fe8a7_344.jpg

    发表于 2018-11-14 16:43:49
    学习学习。。。。
    http://www.anonymou5.com
    使用道具 举报 回复
    发表于 2018-11-16 17:05:05
    学习学习。。。。
    使用道具 举报 回复
    发表于 2018-11-18 15:08:01
    学习到了
    使用道具 举报 回复
    发表于 2018-11-19 09:15:08
    楼主侧漏了,第一个视频下载的案例http://c1.tianyuimg.com
    使用道具 举报 回复
    发表于 2018-11-19 09:21:54
    楼主,请教个问题,最后一个案例中的修改PHPSESSID进行爆破,是随便修改一个ID,如案例中的1111,这个1111只用修改一次就可以进行爆破还是每次都要随机修改呢?
    使用道具 举报 回复
    发表于 2018-11-19 16:06:30
    cuger 发表于 2018-11-19 09:21
    楼主,请教个问题,最后一个案例中的修改PHPSESSID进行爆破,是随便修改一个ID,如案例中的1111,这个1111 ...

    最后这个例子是网上查找的相关例子哈,斗哥没有实际利用过。但是照这个例子看,应该是每次都要更新PHPSESSID得值进行爆破。开发人员各不一样,产生的逻辑漏洞也不太一样,要根据实际的系统进行尝试哈,有时候可能需要每次都更改sessionID得值,有时候可能只需要更改一次。
    使用道具 举报 回复
    发表于 2018-11-19 23:19:56
    学习一波
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册