怎么用自己注册的域名做网站,wordpress口腔主题,西安学校部门定制网站建设公司,深圳定制网站开发文章目录 1. 任意密码重置漏洞原理2. 任意密码重置漏洞产生原因3. 任意密码重置漏洞场景3.1 验证码爆破3.2 验证凭证回传3.3 验证凭证未绑是用户3.4 跳过验证步骤3.5 凭证可预测3.6 同时向多个账户发送凭证 4. 任意密码重置经典案例4.1 中国人寿某重要系统任意账户密码重置4.2 … 文章目录 1. 任意密码重置漏洞原理2. 任意密码重置漏洞产生原因3. 任意密码重置漏洞场景3.1 验证码爆破3.2 验证凭证回传3.3 验证凭证未绑是用户3.4 跳过验证步骤3.5 凭证可预测3.6 同时向多个账户发送凭证 4. 任意密码重置经典案例4.1 中国人寿某重要系统任意账户密码重置4.2 米鼠网设计逻辑的缺陷可重置任意用户密码 5. 权限绕过漏洞5.1 水平越权5.2 垂直越权 1. 任意密码重置漏洞原理 厂商在对密码修改功能设计的时候未对修改密码的凭证做严格的限制导致可以被绕过进行任意的密码修改。 2. 任意密码重置漏洞产生原因 3. 任意密码重置漏洞场景
3.1 验证码爆破 表现 验证码四位服务端未对验证时间次数进行限制出现次数比较多的地方验证码六位但是不过期时间很久并且没有对验证的次数进行限制验证码可以发送多次而且每次都不会过期。 利用使用burp的爆破模块即可或者自己编写脚本。 修复使用六位验证码限制验证码认证次数。 案例流程 重置密码发送手机验证码发现验证码只有四位利用burp进行爆破爆破成功重置密码 3.2 验证凭证回传 重置密码时凭证为发送到手机上的验证码但是通过拦截发送验证码请求对应的Response包时发现验证码在Response包中。 重点注意是凭证有时候可能返回包里面凭证可能在cookie里面或者也有可能在其他地方。 解决方案修改包的返回规则 案例DeDecms任意密码重置 DeDecms是用户使用最多的PHP类cms系统CMS 系统即内容管理系统Content Management System此次该CMS的任意密码重置漏洞通过遍历UID的方式获取返回的静态gourl跳转地址而CMS未对更改密码的跳转地址进行参数隐藏导致更改密码的临时密码被泄露泄露以后构造URL传入临时密码可以不需要任何验证即可更改任意用户密码。 3.3 验证凭证未绑是用户 输入手机号和验证码进行重置密码的时候仅对验证码是否正确进行了判断未对该验证码是否与手机号匹配做验证。 表现 1.任意账号都能够接收到验证码并能够使用A手机的验证码B可以拿来用2.A账号的修改密码连接B账号可以拿来用 修复 1.在服务器进行有效验证手机号和验证码在服务器进行唯─性绑定验证。2.在服务端限制验证码发送周期设置时效限制次数 常见案例 首次登录账号之后需要你绑定邮箱、手机号等情况。在绑定的时候修改绑定的账号id即可把自己的手机号等绑定到别人的账号上面。 3.4 跳过验证步骤 成因对修改密码的步骤没有做校验导致可以输入最终修改密码的网址直接跳转到该页面然后输入新密码达到重置密码的目的。 测试首先使用自己的账号走一次流程获取每个步骤的页面链接然后记录输入新密码的对应链接。重置他人用户时获取验证码后直接进入输入新密码对应链接到新密码的界面输入密码重置成功。 3.5 凭证可预测 token可预测使用邮件接受重置密码的链接时一般都会带有一个token用于判断链接是否被修改过。如果token可以预测那么攻击者可以通过构造链接来重置任意的用户密码。 表现: 1.基于时间戳生成的Token2.基于递增序号生成的token3.基于关键字段生成的token4.token有规律5.验证规则过于简单 3.6 同时向多个账户发送凭证 将发送验证码的包截获修改字段添加多个账户再发包。发现所写的有效字段均发送了凭证。 4. 任意密码重置经典案例
4.1 中国人寿某重要系统任意账户密码重置 直接修改验证返回包即可重置密码链接地址https://cn-sec.com/archives/1557.html 其他相关案例 中国人寿任意用户密码重置二中国人寿任意用户密码重置秒改用户保单信息全部泄漏 4.2 米鼠网设计逻辑的缺陷可重置任意用户密码 手机号没有经过处理直接在请求包里看到并且在源码里找到重置密码链接即可直接重置密码。链接地址http://cn-sec.com/archives/724.html 5. 权限绕过漏洞 越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。越权又可以分为两种水平越权与垂直越权。 5.1 水平越权 水平越权就是相同级别权限的用户或者同一角色的不同用户之间可以越权访问、修改或者删除的非法操作。如果出现此类漏洞那么将可能会造成大批量数据泄露严重的甚至会造成用户信息被恶意篡改。 比如同一公司的员工 A 和 B分别只能查看自己的一些个人资料但是如果系统存在水平越权漏洞则 A 可以通过这样个漏洞查看到 B 的资料。 水平权限漏洞一般出现在一个用户对象关联多个其他对象个人资料、修改密码订单信息等、并且要实现对关联对象的 CRUD 的时候。开发容易习惯性的在生成 CRUD 表单或 AJAX 请求的时候根据认证过的用户身份来找出其有权限的被操作对象 ID提供入口然后让用户提交请求并根据这个 id 来操作相关对象。在处理 CRUD 请求时往往默认只有有权限的用户才能得到入口进而才能操作相关对象因此就不再校验权限了。可悲剧的是大多数对象的 ID 都被设置为自增整型所以攻击者只要对相关 id 加 1、减 1、直至遍历就可以操作其他用户所关联的对象了。 案例 一次水平越权导致平台两万人被修改密码小天才电话手表官网存在水平越权操作漏洞影响用户积分安全 5.2 垂直越权 水平越权是相同级别的用户之间的越权操作而垂直越权则恰恰相反是不同级别之间或不同角色之间的越权。 垂直越权又被分为向上越权与向下越权。比如某些网站像发布文章、删除文章等操作是属于管理员做的事情假设一个低权限用户或者根本没权限也可以做相同的事情这就叫作向上越权, 向下越权与向上越权恰恰相反向下越权是一个高级别用户可以访问一个低级别的用户信息。这样做似乎没错而且很多网站都是这么做的包括低级别密码也可以被高级别用户掌控但这样做可以说是完全错误因为即使权限再低的用户都有他自己的隐私可能用户为了更方便会将自己的银行卡号与密码记录在网站中这些信息都属于用户的隐私。 案例 Couchdb垂直权限绕过到命令执行
