APP漏洞发掘之检漏方法
闲谈
常常听见有朋友在群内说应对各种各样src站点找不到方向,沒有思路,望穿秋水,辗转难眠。可是我是行走在缝隙中的检漏小弟子,从沒有挖过比较严重,高风险也仅仅有时候,可是低危中危却与我很缘分,俗话说得好品质不足总数来凑,挖不上一个比较严重那么就挖二十个低中吧。此次就想把app中一些检漏的小姿态共享一下。(见到这大佬们能够再次去挖比较严重了>_<)
文中涉及到知识要点实际操作训练
1)URL跳转漏洞:根据实际操作掌握url跳转漏洞基本原理,把握普遍的url跳转漏洞运用及安全防护;
2)渗入管理权限标准:根据实际操作掌握逻辑性漏洞中的管理权限漏洞,包含平行面管理权限漏洞与竖直管理权限漏洞
主题
一、擅于发觉URL跳转
以前说更快发觉URL跳转的方式是抓包软件挑选302跳转的连接,可是有时url跳转也存有于200的要求包,假如仔细一点便不会太难发觉(一百块钱呢)。
比如:
根据下述好多个200返回包能够见到返回库中存有goto、returnUrl、signUrl字段名稍稍改动就可以跳转,期待大伙儿的思路别局限性在302中,仔细寻找200返回包也会有一定的获得的。
二、遇上主要参数就修改
见到这一频道应当就了解这儿说的是各种各样越权了,基本的便是根据改动各种各样主要参数来做到开挂的实际效果。这儿就简易举好多个我遇上过有点儿意思的事例:
换取产品处反方向積分在线充值
都说百货商城一旦出了安全性漏洞,损害可能十分惨痛,就例如近期的某多多的尽管讨回了一部分客户薅的羊毛绒,可是花销的人力资源也是许多 的。此次遇到的这个问题便是在积分换购处,值得一提的是这里产品研发蛮聪慧的仅用了产品的id和产品的总数来和后台管理的金额换算積分,可是却沒有对总数做限定造成 能够将其改动为负值开展在线充值。
实际上这儿能够再次剖析一下那便是他为了更好地修补这个问题还应当做的一步实际操作是限定在线充值積分的唯一通道,那样即使这里运用漏洞改动了積分可是在在线充值的情况下开展在线充值通道校检就能防御力此难题。
故意布满预定安全通道:
一部分app中会出现预定作用,最先点一下预定的情况下试着改动id发觉提醒严禁此实际操作,忽然心一凉原先干了限定,此刻很有可能有一些老湿机就没有此处浪费时间,错过良好的机会哦!了,而怀着心存侥幸的我再次碰碰运气吧。总算在预定作用处忽然发觉了这里网页页面存有解析xmlid的越权预定,试着解析xml后从网页页面上能够了解预定满了后会提醒已满并且没法挑选。那思路就来了,能够根据越权持续解析xml每一个店面的每一个时间范围来做到全安全通道布满来阻拦客户享受此作用完成了相近作用ddos 的实际效果。
越权删掉留言板留言
这一漏洞其实不是很难,往往要整理出来是由于感觉還是有点儿必需的,这里的留言板留言的id实际上是数据加密的,可是一个造成了巨大的出错造成 数据加密变成摆放。如图所示能够发觉载入留言版的情况下会返回一个guid 和messageid,可是在删掉留言板留言的情况下启用的是guids,根据比照发觉guid=guids,那样就可以把越权删掉留言板留言:
从这个问题还可以稍加思索,那便是如果遇见了不那麼愚昧的guid 和guids字段名,实际上还可以试着一波^>^。
三、短信轰炸的极具特色方法
普遍的短信轰炸的方法坚信大家都有一定的掌握,那便是爬取一个群发短信的数据文件开展持续播放做到空袭的目地,也有根据联系电话遍历年来做到短消息资源池耗费(这一不得不承认一下,大企业是不容易存有这类难题的,由于短消息基础全是完全免费的>_<。因此 src也会忽视解决)。下边举的事例是独特的短信轰炸的方法:
1.某app中有一个类似飞机场约车的作用,作用是:客户先提交订单?服务平台后台管理全自动推送预定短消息到客户手机上,这就较为有趣了,下边出示运用的思路。
最先提交订单,爬取到的数据文件中userPhone主要参数能够自定沒有限定该设备,都没有开展校检。此刻也要留意返回包返回了订单信息的序号。
次之进到作用点点一下撤销合作,抓包软件能够见到传输的orderNo宣布订单信息的序号。
那样就可以根据持续下订单信息再撤销合作来完成短信轰炸,并且叫出租车还有一个作用便是如果你下了个订单信息未撤消考虑前三十分钟驾驶员也会通电话联络你,算是骚扰电话哈哈哈。
2.遇到过一个朝向买车人的app,一部分开发者觉得没法获得买车人手机号码便能够无需管短信验证码推送插口的限定,可是根据关系的app泄漏了这里的手机号码就可以完成小范畴版短信轰炸。这里不方便传图就概述一下思路,例如某滴,那么就会出现某滴买车人和某滴app,你根据打的获得到的联系电话便是买车人的登陆手机号码,一般为了更好地便捷驾驶员全是手机号手机短信验证登陆,假如这里沒有高度重视短消息频次限定,那么就能够发生短信轰炸,能够根据修改定位来获得不一样范畴内的买车人手机号码(之上有关某滴仅仅举例说明,某滴的安全性能依然会高一些的)。
所述便是大概思路,再说讲下关键点,这里的手机号码获得是必须抓包软件的,由于最先是在线客服联络你是不是必须协助,讲了必须后在线客服会提交订单意见反馈给驾驶员联络客户,这时app页面无法显示手机号码,可是根据爬取该网页页面订单信息的返回包就可以查询到买车人手机号码开展短信轰炸咯。
完毕
文章正文唠叨了一大堆^_^,完毕却没啥好说的了,送大伙儿两字:仔细!!!。并祝大家每天挖高风险,吉祥如意。
