當(dāng)點(diǎn)擊商城的個(gè)人資料修改處����,系統(tǒng)會(huì)通過(guò)將當(dāng)前用戶的phone_client_uuid提交到服務(wù)器進(jìn)行查詢��,調(diào)出個(gè)人資料的內(nèi)容
但由于系統(tǒng)并未對(duì)該功能進(jìn)行訪問(wèn)控制����,導(dǎo)致可通過(guò)遍歷uuid的方式查詢平臺(tái)中任意用戶的資料����,通過(guò)工具對(duì)phone_client_uuid的后5位進(jìn)行爆破嘗試����,如下圖:
通過(guò)對(duì)返回值的length進(jìn)行篩選,發(fā)現(xiàn)成功爆破部分phone_client_uuid所對(duì)應(yīng)的用戶信息�����。
代碼防護(hù)
針對(duì)平行權(quán)限的訪問(wèn)控制缺失���,我們建議使用基于用戶或者會(huì)話的間接對(duì)象引用進(jìn)行防護(hù)�,比方說(shuō)����,一個(gè)某個(gè)選項(xiàng)包含6個(gè)授權(quán)給當(dāng)前用戶的資源,它可以使用一串特殊的數(shù)字或者字符串來(lái)指示哪個(gè)是用戶選擇的值�����,而不是使用資源的數(shù)據(jù)庫(kù)關(guān)鍵字來(lái)表示,數(shù)字和字符串的生成可以結(jié)合賬號(hào)信息進(jìn)行生成���,使得攻擊者難以猜測(cè)生成的方式��。
針對(duì)垂直權(quán)限的訪問(wèn)控制缺失�,我們建議可以使用缺省拒絕所有的訪問(wèn)機(jī)制��,然后對(duì)于每個(gè)功能的訪問(wèn)��,可以明確授予特定角色的訪問(wèn)權(quán)限��,同時(shí)用戶在使用該功能時(shí)�,系統(tǒng)應(yīng)該對(duì)該用戶的權(quán)限與訪問(wèn)控制機(jī)制進(jìn)行校對(duì)��。
2.3任意重置用戶密碼
漏洞描述
在眾多的交易平臺(tái)中����,NSTRT發(fā)現(xiàn)任意重置用戶密碼這類型的問(wèn)題也較為普遍,主要是出現(xiàn)在密碼找回��、郵箱驗(yàn)證等方面���,部分漏洞從技術(shù)原理來(lái)說(shuō)上來(lái)說(shuō)它與越權(quán)操作時(shí)相似的���,即用戶越權(quán)去修改其他用戶的信息���,如密保電話、密保郵箱等��,由于它敏感性所以我們將它歸納成一類進(jìn)行探討�����。
案例
繞過(guò)短信驗(yàn)證碼
基本所有的金融交易平臺(tái)都有短信找回密碼的功能���,但部分短信驗(yàn)證的功能較為不完善導(dǎo)致可被利用重置任意用戶的賬號(hào)�,同樣是某金融平臺(tái)的實(shí)際案例:
在已知對(duì)方用戶名和手機(jī)號(hào)碼的情況下��,通過(guò)站點(diǎn)的密碼找回功能可繞過(guò)短信驗(yàn)證碼直接重置該賬號(hào)密碼����。下圖為密碼重置頁(yè)面:
小編推薦閱讀
