在我对客户网站进行逻辑漏洞检测的时候,逻辑漏洞就是指由于程序结构输入管理不紧,造成程序代码不能够 正常解决或错误处理,一般发生在新用户注册、找回密码、信息内容查询、网上交易结算额度等。我将全部逻辑漏洞的现象分成前端开发和后端开发2个组成部分,整体构思全部都是先检测前端开发再检测后端开发。在我解读中实际上便是能提升标准限定的便是漏洞【像无法更改的,利用抓包就能够更改了】。
一、网站的注册功能
注册账号功能很有可能发生任一新用户注册、骚扰短信等现象。
相互配合知识结构图(在这里以普遍的手机号注册举例说明,同样的道理别的注册账号还可以套入该模型)框里边是对每1个方法步骤的表述,框右侧是总结的步骤。(先无论是图形验证码的缘故是由于即使图形验证码可避过,厂家也会由于该漏洞影响小而忽视)
1、前端开发
首要是前端开发,点开抓包软件,将所有注册申请看一遍,将每一个方法步骤的包都鼠标右键标出来不一样的颜色。
如同这种:
查询每一个返回包有木有返回短信验证码或是存有true、false类似的判定句子,试着将false更改为true,顺利注册账号的情况下就避过了前端开发认证。
这种能够 阻拦该post请求返回包:虚拟币交易所网站的渗透测试总结篇。
2、骚扰短信
试着重放传送短信验证码的包,查询手机是不是在短期内接到了好几条短消息,是的情况下则存有骚扰短信漏洞,这是由于后端开发并没有对传送手机信息做时长限定。
3、更改传送包手机号码
最终是更改传送包的手机号码,首要用自个的手机接到合理短信验证码,在立即注册时阻拦包将手机号码改成别的手机号码,要是顺利的情况下就注册账号了他人的手机号码,这是由于后端开发仅认证了短信验证码是不是合理的而并没有认证短信验证码是不是与手机匹配。
步骤总结
1、前端开发判定【回显及判定】
2、骚扰短信
3、更改发送数据库包中的手机号码
【邮箱注册】4、更改传送包邮箱试着复盖注册账号
之上是手机号注册的大约架构步骤,同样的道理别的注册账号种类还可以相比检测。
二、登陆录
登陆处很有可能发生任一账号登录、短信验证码可避过、客户账户可拖库等现象。相互配合知识结构图,这儿知识结构图上说的登陆密码同样是短信验证码,由于要以短信验证码登陆举例说明(以普遍的短信验证码登陆举例说明,相同账户密码登陆还可以套入该模形,短信验证码登陆的独特处占用框标识)
相同的,同样是先检测前端开发再检测后端开发。
1、前端开发
首要相比合理登陆和不正确登陆的包,相比返回包看是不是有判定,试着更改参数值避过前端开发认证。(这儿同样是点开抓包所有步骤看一遍,和上边的登记处检测类似)
2、骚扰短信
检测骚扰短信与登记处测试步骤相同(通常情况下登记处有骚扰短信的情况下这儿也会有)。
3、短信验证码暴破
再随后便是短信验证码暴破(或避过),这儿短信验证码包括图形验证码和短信验证码,先检测图形验证码,将应用合理密码登录的包再重放一回,要是回显依然合理登陆的情况下说明并没有对图形验证码开展限定,能够 试着拖库。
对于短信验证码,一般是试着暴破,要是网站发送到手机上的短消息并没有写哪些在xx时长内有效类似的则有很有可能并没有时长限定,将登录包鼠标右键发送到Intruder(即测试器模快)设定好暴破部位后在负载里挑选标值后这种填好。如果您的网站存在逻辑漏洞,不知道该如何进行检测可以找专业的网站安全公司来进行检测,国内SINE安全,绿盟,鹰盾安全,深信服,启明星辰都是比较不错的。