文章轉自公衆號:物聯網IOT安全
1.資產收集
1.1業務範圍
巧用搜索引擎首推谷歌查看了解src旗下涉及到的業務,收集其對應的業務下的域名,在進一步進行挖掘,比如:
整理後,在進行常規資產收集。
1.2常規性質資產收集
基本的資產收集方式:子域名枚舉、端口掃描、路徑掃描、旁站c段查詢
子域名
子域名爆破:
sublist3r、subdomainsBurte、DiscoverSubdomain、layer子域名挖掘機。
子域名枚舉
通過網絡空間安全搜索引擎
雲悉資產、FOFA、Virustotal、Dnsdumpster、Threatcrowd
路徑掃描
dirsearch、御劍
旁站C段查詢
在線旁站C段查詢:www.webscan.cc、www.5kik.com、phpinfo.me
1.3信息泄漏
敏感目錄/文件
豬豬俠weakfilescan、cansina、sensitivefilescan、FileSensor
網頁源碼/js/json泄漏敏感接口
1)接口泄漏
2)json敏感信息泄漏
a)網站源碼涉及到的子域名url接口資產爬取
b)網站源碼js中包含的請求或拼接的訪問接口
c)高級功能,url接口中json信息泄漏識別
1.4其他業務查找
微信公衆號綁定接口、app、老舊的登錄接口、版本迭代
2.越權
改識別用戶參數;
改cookie;
越權訪問;
登錄後,修改密碼,未校驗id與用戶,修改id,即可改其他人密碼;
修改個人數據時,頁面源代碼有用戶標識符id,抓包修改或添加id;
直接訪問後臺鏈接禁用js則不會跳轉登錄界面,直接登錄;
登陸分爲賬號和遊客登陸,遊客功能有限,app端只做前端檢測,模擬發包即可;
越權訂單查看打印下載、越權操作他人收貨地址、增刪改查等。
3.邏輯漏洞
任意用戶註冊、密碼重置、密碼找回。
3.1本地驗證、修改返回包
1)獲取驗證碼後任意輸入一個驗證碼。
2)抓包放行,得到的返回包如下
3)抓包改返回包修改爲正確的返回包覆蓋錯誤的返回包,如下
{“code”:1,”data”:”目標用戶手機號”,”msg”:”綁定成功Ÿ”}
4)放行,修改成功
3.2手機號、驗證碼、用戶未統一驗證問題
未對原綁定手機號、驗證碼、用戶未統一驗證,或驗證碼未綁定,只驗證驗證碼正確,沒判斷用戶id或手機號,修改想改的id正確手機驗證驗證碼即可。
如密碼找回重置時未對原綁定手機號驗證進行任意賬號密碼重置。
150**73賬號被重置
3.3密碼重置類其他邏輯問題
1.以重置成功的token覆蓋最後一步錯誤的token和1類似。
2.密碼重置時刪除mobilephone參數值修改email參數值。
3.假如找回需要4步,最後一步有user參數,用自己賬號正常到第三步,第四步修改user實現。
4.支付邏輯漏洞
5.可跳過步驟、
6.爆破、枚舉
1.撞庫,登錄時無驗證碼且可無限被嘗試,用戶名驗證時有無用戶名錯誤回顯、密碼可被爆破。
2.無驗證碼,驗證碼不刷新,驗證碼4位過於簡單,無嘗試冊數限制可被爆破。
3.枚舉註冊用戶,輸入用戶名,發送請求驗證用戶名是否正確(若返回次數限制,可測試服務端未限制高頻訪問)。
4.登陸失敗有次數限制,若包中有限制參數可更改或刪除參數。
5.郵箱轟炸,短信轟炸,burp repeater,短信宏站驗證碼有60秒限制時,有的參數修改後可繞過,如:
1)isVerfi參數,這裏是1,回包3,手機沒收到信息,存在驗證碼限制。
改爲0,回顯2,繞過了驗證碼限制。
7.其他
cookie一直有效(修改密碼後仍有效)
第三方賬戶登錄繞過(攔截微博授權成功的請求地址:https://api.weibo.com/oauth2/sso_authorize?sflag=1 修改response中的uid,服務端沒有校驗客戶端提交的uid與授權成功的uid相同)