當(dāng)點(diǎn)擊商城的個(gè)人資料修改處�����,系統(tǒng)會(huì)通過(guò)將當(dāng)前用戶(hù)的phone_client_uuid提交到服務(wù)器進(jìn)行查詢(xún)����,調(diào)出個(gè)人資料的內(nèi)容
但由于系統(tǒng)并未對(duì)該功能進(jìn)行訪(fǎng)問(wèn)控制,導(dǎo)致可通過(guò)遍歷uuid的方式查詢(xún)平臺(tái)中任意用戶(hù)的資料����,通過(guò)工具對(duì)phone_client_uuid的后5位進(jìn)行爆破嘗試,如下圖:
通過(guò)對(duì)返回值的length進(jìn)行篩選�����,發(fā)現(xiàn)成功爆破部分phone_client_uuid所對(duì)應(yīng)的用戶(hù)信息����。
代碼防護(hù)
針對(duì)平行權(quán)限的訪(fǎng)問(wèn)控制缺失�,我們建議使用基于用戶(hù)或者會(huì)話(huà)的間接對(duì)象引用進(jìn)行防護(hù),比方說(shuō)��,一個(gè)某個(gè)選項(xiàng)包含6個(gè)授權(quán)給當(dāng)前用戶(hù)的資源����,它可以使用一串特殊的數(shù)字或者字符串來(lái)指示哪個(gè)是用戶(hù)選擇的值�,而不是使用資源的數(shù)據(jù)庫(kù)關(guān)鍵字來(lái)表示�����,數(shù)字和字符串的生成可以結(jié)合賬號(hào)信息進(jìn)行生成�����,使得攻擊者難以猜測(cè)生成的方式�。
針對(duì)垂直權(quán)限的訪(fǎng)問(wèn)控制缺失,我們建議可以使用缺省拒絕所有的訪(fǎng)問(wèn)機(jī)制�,然后對(duì)于每個(gè)功能的訪(fǎng)問(wèn),可以明確授予特定角色的訪(fǎng)問(wèn)權(quán)限�����,同時(shí)用戶(hù)在使用該功能時(shí)����,系統(tǒng)應(yīng)該對(duì)該用戶(hù)的權(quán)限與訪(fǎng)問(wèn)控制機(jī)制進(jìn)行校對(duì)。
2.3任意重置用戶(hù)密碼
漏洞描述
在眾多的交易平臺(tái)中����,NSTRT發(fā)現(xiàn)任意重置用戶(hù)密碼這類(lèi)型的問(wèn)題也較為普遍,主要是出現(xiàn)在密碼找回���、郵箱驗(yàn)證等方面��,部分漏洞從技術(shù)原理來(lái)說(shuō)上來(lái)說(shuō)它與越權(quán)操作時(shí)相似的�����,即用戶(hù)越權(quán)去修改其他用戶(hù)的信息���,如密保電話(huà)��、密保郵箱等����,由于它敏感性所以我們將它歸納成一類(lèi)進(jìn)行探討���。
案例
繞過(guò)短信驗(yàn)證碼
基本所有的金融交易平臺(tái)都有短信找回密碼的功能�,但部分短信驗(yàn)證的功能較為不完善導(dǎo)致可被利用重置任意用戶(hù)的賬號(hào)�,同樣是某金融平臺(tái)的實(shí)際案例:
在已知對(duì)方用戶(hù)名和手機(jī)號(hào)碼的情況下,通過(guò)站點(diǎn)的密碼找回功能可繞過(guò)短信驗(yàn)證碼直接重置該賬號(hào)密碼�����。下圖為密碼重置頁(yè)面:
小編推薦閱讀
