您的位置:首頁(yè) > 菜鳥(niǎo)學(xué)院 > 金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試
當(dāng)點(diǎn)擊商城的個(gè)人資料修改處,系統(tǒng)會(huì)通過(guò)將當(dāng)前用戶(hù)的phone_client_uuid提交到服務(wù)器進(jìn)行查詢(xún),調(diào)出個(gè)人資料的內(nèi)容
但由于系統(tǒng)并未對(duì)該功能進(jìn)行訪(fǎng)問(wèn)控制,導(dǎo)致可通過(guò)遍歷uuid的方式查詢(xún)平臺(tái)中任意用戶(hù)的資料,通過(guò)工具對(duì)phone_client_uuid的后5位進(jìn)行爆破嘗試,如下圖:
通過(guò)對(duì)返回值的length進(jìn)行篩選,發(fā)現(xiàn)成功爆破部分phone_client_uuid所對(duì)應(yīng)的用戶(hù)信息。
代碼防護(hù)
針對(duì)平行權(quán)限的訪(fǎng)問(wèn)控制缺失,我們建議使用基于用戶(hù)或者會(huì)話(huà)的間接對(duì)象引用進(jìn)行防護(hù),比方說(shuō),一個(gè)某個(gè)選項(xiàng)包含6個(gè)授權(quán)給當(dāng)前用戶(hù)的資源,它可以使用一串特殊的數(shù)字或者字符串來(lái)指示哪個(gè)是用戶(hù)選擇的值,而不是使用資源的數(shù)據(jù)庫(kù)關(guān)鍵字來(lái)表示,數(shù)字和字符串的生成可以結(jié)合賬號(hào)信息進(jìn)行生成,使得攻擊者難以猜測(cè)生成的方式。
針對(duì)垂直權(quán)限的訪(fǎng)問(wèn)控制缺失,我們建議可以使用缺省拒絕所有的訪(fǎng)問(wèn)機(jī)制,然后對(duì)于每個(gè)功能的訪(fǎng)問(wèn),可以明確授予特定角色的訪(fǎng)問(wèn)權(quán)限,同時(shí)用戶(hù)在使用該功能時(shí),系統(tǒng)應(yīng)該對(duì)該用戶(hù)的權(quán)限與訪(fǎng)問(wèn)控制機(jī)制進(jìn)行校對(duì)。
漏洞描述
在眾多的交易平臺(tái)中,NSTRT發(fā)現(xiàn)任意重置用戶(hù)密碼這類(lèi)型的問(wèn)題也較為普遍,主要是出現(xiàn)在密碼找回、郵箱驗(yàn)證等方面,部分漏洞從技術(shù)原理來(lái)說(shuō)上來(lái)說(shuō)它與越權(quán)操作時(shí)相似的,即用戶(hù)越權(quán)去修改其他用戶(hù)的信息,如密保電話(huà)、密保郵箱等,由于它敏感性所以我們將它歸納成一類(lèi)進(jìn)行探討。
案例
繞過(guò)短信驗(yàn)證碼
基本所有的金融交易平臺(tái)都有短信找回密碼的功能,但部分短信驗(yàn)證的功能較為不完善導(dǎo)致可被利用重置任意用戶(hù)的賬號(hào),同樣是某金融平臺(tái)的實(shí)際案例:
在已知對(duì)方用戶(hù)名和手機(jī)號(hào)碼的情況下,通過(guò)站點(diǎn)的密碼找回功能可繞過(guò)短信驗(yàn)證碼直接重置該賬號(hào)密碼。下圖為密碼重置頁(yè)面:
小編推薦閱讀國(guó)產(chǎn)工具PKAV HTTP Fuzzer滲透測(cè)試助手最新發(fā)布
閱讀FireEye:11.2%的移動(dòng)APP仍存在FREAK漏洞
閱讀惠普漏洞:惠普ArcSight企業(yè)安全系列產(chǎn)品曝高危安全漏洞
閱讀騰訊、360各顯神通,分別秒殺IE、Flash、PDF項(xiàng)目
閱讀蘋(píng)果Mac OS X系統(tǒng)被發(fā)現(xiàn)存在DLL劫持漏洞
閱讀金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試
閱讀D-Link(友訊)路由器曝遠(yuǎn)程文件上傳及命令注入漏洞(已發(fā)布安全更新)
閱讀Win10將使用P2P進(jìn)行系統(tǒng)更新,引發(fā)安全擔(dān)憂(yōu)
閱讀美國(guó)最大的無(wú)卡ATM網(wǎng)絡(luò)即將推出,從此告別刷卡!
閱讀谷歌應(yīng)用漏洞泄漏超過(guò)28萬(wàn)條私人WHOIS數(shù)據(jù)
閱讀使命召喚、魔獸世界、英雄聯(lián)盟……專(zhuān)攻游戲的勒索軟件TeslaCrypt
閱讀本站所有軟件,都由網(wǎng)友上傳,如有侵犯你的版權(quán),請(qǐng)發(fā)郵件[email protected]
湘ICP備2022002427號(hào)-10 湘公網(wǎng)安備:43070202000427號(hào)© 2013~2025 haote.com 好特網(wǎng)