當點擊商城的個人資料修改處����,系統(tǒng)會通過將當前用戶的phone_client_uuid提交到服務(wù)器進行查詢���,調(diào)出個人資料的內(nèi)容
但由于系統(tǒng)并未對該功能進行訪問控制����,導(dǎo)致可通過遍歷uuid的方式查詢平臺中任意用戶的資料����,通過工具對phone_client_uuid的后5位進行爆破嘗試�����,如下圖:
通過對返回值的length進行篩選����,發(fā)現(xiàn)成功爆破部分phone_client_uuid所對應(yīng)的用戶信息�����。
代碼防護
針對平行權(quán)限的訪問控制缺失�,我們建議使用基于用戶或者會話的間接對象引用進行防護,比方說�����,一個某個選項包含6個授權(quán)給當前用戶的資源�,它可以使用一串特殊的數(shù)字或者字符串來指示哪個是用戶選擇的值,而不是使用資源的數(shù)據(jù)庫關(guān)鍵字來表示�����,數(shù)字和字符串的生成可以結(jié)合賬號信息進行生成,使得攻擊者難以猜測生成的方式���。
針對垂直權(quán)限的訪問控制缺失�����,我們建議可以使用缺省拒絕所有的訪問機制���,然后對于每個功能的訪問,可以明確授予特定角色的訪問權(quán)限����,同時用戶在使用該功能時,系統(tǒng)應(yīng)該對該用戶的權(quán)限與訪問控制機制進行校對����。
2.3任意重置用戶密碼
漏洞描述
在眾多的交易平臺中,NSTRT發(fā)現(xiàn)任意重置用戶密碼這類型的問題也較為普遍�,主要是出現(xiàn)在密碼找回、郵箱驗證等方面�,部分漏洞從技術(shù)原理來說上來說它與越權(quán)操作時相似的,即用戶越權(quán)去修改其他用戶的信息���,如密保電話�����、密保郵箱等����,由于它敏感性所以我們將它歸納成一類進行探討。
案例
繞過短信驗證碼
基本所有的金融交易平臺都有短信找回密碼的功能���,但部分短信驗證的功能較為不完善導(dǎo)致可被利用重置任意用戶的賬號,同樣是某金融平臺的實際案例:
在已知對方用戶名和手機號碼的情況下�����,通過站點的密碼找回功能可繞過短信驗證碼直接重置該賬號密碼���。下圖為密碼重置頁面:
小編推薦閱讀
