逻辑漏洞之业务安全

这篇具有很好参考价值的文章主要介绍了逻辑漏洞之业务安全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

业务授权安全
业务流程乱序
业务接口调用
业务一致性安全
业务数据篡改
时效绕过测试

业务授权安全
最小权限原则: 确保用户和系统只有在其职责范围内才能访问和执行操作。
强身份验证: 要求用户进行有效的身份验证,例如多因素身份验证,以确保只有授权用
户才能访问敏感业务。
利用场景:
企业内部系统需要将不同用户角色的权限分配,例如管理员和普通用户的权限不同。
用户在进行敏感业务操作时需要进行身份验证,例如电子银行转账。
会话管理漏洞: 如果应用程序的会话管理不安全,攻击者可以访问其他用户的支付信息或执行未经授权的支付操作。这可能是因为会话标识不够随机或不安全,或者因为会话没有正确终止。
不安全的存储: 如果用户的支付信息在服务器上不安全地存储,黑客可能会访问这些信息并滥用它们。这包括未加密的银行卡信息或密码。
1.未授权访问
非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访问到
的页面或文本信息。
可以尝试在登录某网站前台或后台之后,将相关的页面链接复制于其他浏览器或其他电脑
上进行访问,看是否能访问成功。
2.越权访问
越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数
据过分相信而遗漏了权限的判定。
a) 平行越权(水平越权是指相同权限的不同用户可以互相访问)
test test1
b) 垂直越权(垂直越权是指使用权限低的用户可以访问权限较高的用户)
admin
通常情况下,一个 Web 程序功能流程是登录 - 提交请求 - 验证权限 - 数据库查询 - 返回结
果。如果验证权限不足,便会导致越权。常见的程序都会认为通过登录后即可验证用户的身份,从而不会做下一步验证,最后导致越权。

挖掘思路
水平越权:如果在访问网站数据包中有传输用户的编号、用户组编号或类型综号的时候,那么尝试对这个值进行修改,就是测试越权漏洞的基本。
垂直越权:添加用户
逻辑漏洞之业务安全,安全,网络,数据库
案列:
逻辑漏洞之业务安全,安全,网络,数据库
这里是lucy的信息,我们把这个lucy变成kobe逻辑漏洞之业务安全,安全,网络,数据库
逻辑漏洞之业务安全,安全,网络,数据库
逻辑漏洞之业务安全,安全,网络,数据库
逻辑漏洞之业务安全,安全,网络,数据库
创建的时候要注意抓包,第一张是管理员,第二张时普通用户
逻辑漏洞之业务安全,安全,网络,数据库

上图是普通用户,把普通用户的cookie复制下来,和admin替换
让普通用户有了添加用户权限类似于提权
逻辑漏洞之业务安全,安全,网络,数据库
也可以把创建用户的页面复制到普通用户也可以创建

越权漏洞的危害
越权漏洞的危害与影响主要是与对应业务的重要性相关,比如说某一页面服务器端响应(不局限于页面返回的信息,有时信息在响应包中,页面不一定能看见)中返回登录名、登录密码、手机号、身份证等敏感信息,如果存在平行越权,通过对用户ID的遍历,就可以查看所有用户的敏感信息,这也是一种变相的脱库,而且很难被防火墙发现,因为这和正常的访问请求没有什么区别,也不会包含特殊字符,具有十足的隐秘性。

如何检测越权漏洞
最简单的一种检测方式是,首先是通过定位鉴权参数,然后替换为其他账户鉴权参数的方法来发现越权漏洞。
案例:
用户A现在拥有一个有效的访问令卑,该令牌将作为鉴权参数用于以后的请求。每当用户A尝试发布帖子或查看其也用户的个人资料时,她的请求都会包含此访问令牌。(此令牌包括不限于ID和Jcookie)
鉴权参数:假如是个id=1是kk,id=2是cc,然后我把id=1改成2就可以看到cc的信息

业务流程乱序
流程控制: 业务流程必须按照预定顺序执行,涉及多个环节时要确保每个环节的完整性
审批链: 对于需要审批的业务,必须按照正确的审批链路程进行。
1.顺序执行缺陷
a)部分网站逻辑可能是先A过程后B过程然后C过程最后D过程
b)用户控制着他们给应用程序发送的每一个请求,因此能够按照任何顺序进行访问。于是,用户就从B直接进入了D过程,就绕过了C。如果C是支付过程,那么用户就绕过了支付过程而买到了一件商品。如果C是验证过程,就会绕过验证直接进入网站程序了。
访问注册页面,注册账户之后充值提交并抓取数据包,填写任意金额然后并抓包,获取订单号,利用订单号构造充值链接并访问,看是否能充值成功
逻辑漏洞之业务安全,安全,网络,数据库
如果存在乱序,生成的订单,我能不能想办法跳过支付,或者我在这个订单的地方,我把我的订单号改成别人的,用别人的账号给我支付
先把每个流程跑一遍,把每个包都拦下来,假如我在生成订单这一步,直接把支付成功的链接进行
案例2:绕过旧日密码和短信验证码修改付款密码user=123
修改接口的返回数据包为true
逻辑漏洞之业务安全,安全,网络,数据库

业务接口调用
原理:
接口安全性: 确保业务接口受到保护,只有授权的系统或应用程序能够访问
数据验证: 对从接口接收的数据进行验证,防止恶意数据输入和攻击。
1.重放攻击
在短信、邮件验证码,订单生成,评邮件调用业务或生成业务数据环节中(例:短信验证码论提交,签到,投票等),对其业务环节进行调用(重放)测试。如果业务经过调用(重放)后被多次生成有效的业务或数据结果。
逻辑漏洞之业务安全,安全,网络,数据库
短信轰炸
在测试的过程中,我们发现众多的系统仅在前端通过JS校验时间来控制短信发送按钮,但后台并未对发送做任何限制,导致可通过重放包的方式大量发送恶意短信

投票活动刷票
投票接口未做限制,或仅仅在前端Js做限制,可无限重放投票接口,给指定用户刷票
不过目前大部分投票系统都有做限制,比如同一个每天只能投三次票,可尝试用X-
Forwarded-For:127:0:0:1来绕过IP限制。
逻辑漏洞之业务安全,安全,网络,数据库
内容编辑
点击“获取短信验证码”并抓取数据包内容通过分析数据包,可以发现参数sendData/insrotxt的内容有客户端控制,可以修改为攻击者想要发送的内容
篡改短信内容,可用来钓鱼。

业务一致性安全
事务完整性: 业务操作必须具有事务完整性,即要么全部执行成功,要么全部失败。
日志记录: 记录关键业务事件,以便跟踪和审计。

1. 手机号篡改
抓包修改手机号码参数为其他号码尝试例如在办理查询页面,输入自己的号码然后抓包修改手机号码参数为其他人号码,查看是否能查询其他人的业务
2. 邮件地址篡改
抓包修改用户邮箱参数为其他用户的邮箱
3. 订单id篡改
查看自己的订单id,然后修改id(加减一)查看是否能查看其它订单信息。
4. 商品编号篡改
例如积分兑换处
100个积分只能换商品编号为001,1000个积分只能换商品编号005在100积分换商品的时候抓包把换商品的编号修改为005,用低积分换区高积分商品
5. 用户id篡改

业务数据篡改
数据保护: 使用数据加密、访问控制和数据完整性检查来保护业务数据通过
安全通信协议传输敏感数据。安全传输

  1. 金额数据篡改
    抓包修改金额等字段,例如在支付页面抓取请求中商品的金额字段修改成任意数额的金额并提交,查看能否以修改后的金额数据完成业务流程

经常见到的参数大多为rmb、value、amount、cash、fee、money等关于支付的逻辑漏洞这一块还有很多种思路比如:
相同价格增加订单数量,
相同订单数量减少产品价格
订单价格设定为负数等等。

  1. 商品数据篡改
  2. 最大数限制突破
    很多商品限制用户购买数量时,服务器仅在页面通过js脚本限制未在服务器端校验用户提交的数量,通过抓包修改商品最大数限制将请求中的商品数量改为大于最大数限制的值查看能否以修改后的数量完成业务流程。

时效绕过测试
时间范围测试
针对某些带有时间限制的业务,修改其时间限制范围,例如在某项时间限制范围内查询的业务,修改含有时间明文字段的请求并提交,查看能否绕过时间限制完成业务流程。例如通过更改查询手机网厅的受理记录的month范围,可以突破默认只能查询六个月的记录。
时间刷新测试
12306网站的买票业务是每隔5s,票会刷新一次。但是这个时间确实在本地设置的间隔。于是,在控制台就可以将这个时间的关联变量重新设置成1s或者更小这样刷新的时间就会大幅度缩短(主要更改autoSearchTime本地参数)

12306自动刷新时间参数为autoSearchTime,可以再开启自动查询后再firebug控制台输入命令: autoSearchTime=1000,其中1000指1秒,再网络支持的情况下可以随意指定自己的刷新时间。

业务安全的防御文章来源地址https://www.toymoban.com/news/detail-860169.html

  • 访问控制:限制用户对系统资源的访问权限,只允许授权用户访问系统。
  • 数据加密:对重要数据进行加密处理,保护数据的机密性和完整性,防止数据泄露。
  • 安全审计:记录系统的操作日志和安全事件,及时发现和处理安全漏洞
  • 强化认证:采用多因素认证等方式,提高用户身份验证的安全性。
  • 漏洞修复:及时修复系统中的漏洞和安全缺陷,保证系统的稳定和安全性。
  • 应急响应:建立应急响应机制,及时应对安全事件和威胁,降低损失和影响

到了这里,关于逻辑漏洞之业务安全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 数据库安全:Hadoop 未授权访问-命令执行漏洞.

    Hadoop 未授权访问主要是因为 Hadoop YARN 资源管理系统配置不当,导致可以未经授权进行访问,从而被攻击者恶意利用。攻击者无需认证即可通过 RESTAPI 部署任务来执行任意指令,最终完全控制服务器。 数据库安全:Hadoop 未授权访问-命令执行漏洞. Hadoop 未授权访问-命令执行漏

    2024年02月05日
    浏览(41)
  • 服务攻防-数据库安全-Influxdb&H2database&CouchDB&ElasticSearch数据库漏洞复现

    目录 一、Influxdb-未授权访问-Jwt 验证不当 1、Infuxdb简介 2、安全问题 3、漏洞复现  二、H2database-未授权访问-配置不当 1、H2database简介 2、安全问题 3、漏洞复现  三、CouchDB-权限绕过配合RCE-漏洞 1、CouchDB简介 2、安全问题 3、漏洞复现  四 、ElasticSearch-文件写入RCE-漏洞 1、Ela

    2024年02月16日
    浏览(46)
  • 数据库安全-H2 database&Elasticsearch&CouchDB&Influxdb漏洞复现

    参考:influxdb CVE-2019-20933 靶场环境:vulhub 打开靶场进入环境: 访问: 端口扫描: 默认端口: 8086:用于客户端和服务端交互的HTTP API 8088 :用于提供备份和恢复的RPC服务 influxdb 是一款著名的时序数据库,其使用 jwt 作为鉴权方式。在用户开启了认证, 但未设置参数 shared-s

    2024年02月06日
    浏览(39)
  • 数据库安全-Redis未授权&Hadoop&Mysql&未授权访问&RCE 漏洞复现

    未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露,包括端口的未授权常见页面的未授权 /admin.php /menu.php 常见的未授权访问漏洞及默认端口: 默认端口统

    2024年02月03日
    浏览(44)
  • 服务攻防-数据库安全-服务应用的安全问题以及测试流程-Mysql&Hadoop&未授权访问&RCE-漏洞复现

    目录 一、服务应用的安全问题 1、配置不当——未授权访问 2、安全机制——特定安全漏洞 3、安全机制——弱口令爆破攻击 二、服务应用的安全测试思路 1、判断服务是否开放 2、判断服务类型 3、判断利用方式 三、Mysql-未授权访问-CVE-2012-2122 利用 1、漏洞概述 2、漏洞复现

    2024年02月17日
    浏览(44)
  • 网络安全 Day21-数据库知识

    数据库是存储数据的仓库,这个仓库更特别 储存静态数据 存储服务器上:图片,视频,压缩包 web服务器上: html,js,css,php,python,java 数据库里:文本:文章、订单、商品 进行交互动态数据 电商网站,这些功能都必须要数据库来交互。注册会员、登录会员、购买订单、支付、物流跟

    2024年02月15日
    浏览(39)
  • 网络安全等保:Oracle数据库测评

    以下结果以Oracle 11g为例,通过PL/SQL进行管理,未进行任何配置、按照等保2.0标准,2021报告模板,三级系统要求进行测评。 a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; sysdba是Oracle数据库的最高权限管理员。通常使

    2024年02月13日
    浏览(41)
  • 《网络安全》- 3.1 - Redis数据库详细教程

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「订阅专栏」: 此文章已录入专栏《网络安全入门到精通》

    2023年04月08日
    浏览(40)
  • 网络安全 Day22-mariadb数据库用户管理

    用户的格式: 用户@主机范围 合起来才算一个用户 授权主机范围 只能从本机访问: localhost 或 127.0.0.1 或 10.0.0.166 (指定IP) 授权整个网段: 授权10.0.0.1–10.0.0.254: 10.0.0.0/24 或 10.0.0.% 授权192.168.0.1—192.168.254.254: 192.168.% 严令 禁止 直接使用 % 用户增删改查 创建用户 语法: create user b

    2024年02月14日
    浏览(33)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包