您的位置:首頁(yè) > 菜鳥(niǎo)學(xué)院 > 金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試

金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試

來(lái)源:互聯(lián)網(wǎng) | 時(shí)間:2015-03-18 10:02:08 | 閱讀:169 |  標(biāo)簽: 網(wǎng)絡(luò)安全   | 分享到:

當(dāng)點(diǎn)擊商城的個(gè)人資料修改處,系統(tǒng)會(huì)通過(guò)將當(dāng)前用戶的phone_client_uuid提交到服務(wù)器進(jìn)行查詢,調(diào)出個(gè)人資料的內(nèi)容      

金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試

但由于系統(tǒng)并未對(duì)該功能進(jìn)行訪問(wèn)控制,導(dǎo)致可通過(guò)遍歷uuid的方式查詢平臺(tái)中任意用戶的資料,通過(guò)工具對(duì)phone_client_uuid的后5位進(jìn)行爆破嘗試,如下圖:     

金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試

通過(guò)對(duì)返回值的length進(jìn)行篩選,發(fā)現(xiàn)成功爆破部分phone_client_uuid所對(duì)應(yīng)的用戶信息。 

代碼防護(hù)

針對(duì)平行權(quán)限的訪問(wèn)控制缺失,我們建議使用基于用戶或者會(huì)話的間接對(duì)象引用進(jìn)行防護(hù),比方說(shuō),一個(gè)某個(gè)選項(xiàng)包含6個(gè)授權(quán)給當(dāng)前用戶的資源,它可以使用一串特殊的數(shù)字或者字符串來(lái)指示哪個(gè)是用戶選擇的值,而不是使用資源的數(shù)據(jù)庫(kù)關(guān)鍵字來(lái)表示,數(shù)字和字符串的生成可以結(jié)合賬號(hào)信息進(jìn)行生成,使得攻擊者難以猜測(cè)生成的方式。

針對(duì)垂直權(quán)限的訪問(wèn)控制缺失,我們建議可以使用缺省拒絕所有的訪問(wèn)機(jī)制,然后對(duì)于每個(gè)功能的訪問(wèn),可以明確授予特定角色的訪問(wèn)權(quán)限,同時(shí)用戶在使用該功能時(shí),系統(tǒng)應(yīng)該對(duì)該用戶的權(quán)限與訪問(wèn)控制機(jī)制進(jìn)行校對(duì)。

2.3任意重置用戶密碼

漏洞描述

在眾多的交易平臺(tái)中,NSTRT發(fā)現(xiàn)任意重置用戶密碼這類型的問(wèn)題也較為普遍,主要是出現(xiàn)在密碼找回、郵箱驗(yàn)證等方面,部分漏洞從技術(shù)原理來(lái)說(shuō)上來(lái)說(shuō)它與越權(quán)操作時(shí)相似的,即用戶越權(quán)去修改其他用戶的信息,如密保電話、密保郵箱等,由于它敏感性所以我們將它歸納成一類進(jìn)行探討。

案例

繞過(guò)短信驗(yàn)證碼

基本所有的金融交易平臺(tái)都有短信找回密碼的功能,但部分短信驗(yàn)證的功能較為不完善導(dǎo)致可被利用重置任意用戶的賬號(hào),同樣是某金融平臺(tái)的實(shí)際案例:

在已知對(duì)方用戶名和手機(jī)號(hào)碼的情況下,通過(guò)站點(diǎn)的密碼找回功能可繞過(guò)短信驗(yàn)證碼直接重置該賬號(hào)密碼。下圖為密碼重置頁(yè)面:

小編推薦閱讀

好特網(wǎng)發(fā)布此文僅為傳遞信息,不代表好特網(wǎng)認(rèn)同期限觀點(diǎn)或證實(shí)其描述。

相關(guān)視頻攻略

更多

掃二維碼進(jìn)入好特網(wǎng)手機(jī)版本!

掃二維碼進(jìn)入好特網(wǎng)微信公眾號(hào)!

本站所有軟件,都由網(wǎng)友上傳,如有侵犯你的版權(quán),請(qǐng)發(fā)郵件[email protected]

湘ICP備2022002427號(hào)-10 湘公網(wǎng)安備:43070202000427號(hào)© 2013~2025 haote.com 好特網(wǎng)