请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 495|回复: 7

[原创文章] 浅谈APP漏洞挖掘之逻辑漏洞

[复制链接]
  • TA的每日心情
    擦汗
    2016-11-18 17:41
  • 签到天数: 105 天

    [LV.6]常住居民II

    发表于 2016-8-13 14:22:43 | 显示全部楼层 |阅读模式
    作者:Can
      联系方式:[email protected]
      文章中若无特别说明,实例皆为本人自主挖掘。
      转载请注明出处,本文仅为个人经验总结,介绍的并非所有方法,只是一些最常见的方法。如有错误,烦请指出。

      0x00 简介

      本文主要介绍APP漏洞挖掘中逻辑漏洞,包括任意用户密码重置,支付漏洞,任意用户未授权登录。

      0x01 任意用户密码重置正文

      首先,我们来看看任意用户密码重置。  
      方法一:密码找回的凭证太弱,为4位或6位纯数字,并且时效过长,导致可爆破从而重置用户密码。
      这里我们来看一个实例,目前厂商已经修复。
      

                                   
    登录/注册后可看大图

      验证码为4位纯数字,我们使用burpsuite爆破。
      

                                   
    登录/注册后可看大图

        可以看到成功爆破出了。4位数字0~9有9999种可能,我们线程设置10,五分钟之内就可以爆破出凭证。
        方法二:验证码传输在数据包中。
        这里共有两种可能,一种在返回包,一种在获取验证码的数据包中。我们来看两个实例。
        第一个:验证码在返回包中
        在输入好手机号点击下一步时,我们抓包,截取返回包。
      

                                   
    登录/注册后可看大图

      

                                   
    登录/注册后可看大图

                                   
    登录/注册后可看大图


      第二个:验证码在获取验证码的数据包中。
      

                                   
    登录/注册后可看大图

       Checkcode后面的六位数字就为验证码了,这种情况我只见过一次。
      方法三:输入好凭证后,重置密码时替换手机号。

      看个实例:
      这款APP重置密码分为两步,第一步是输入手机号获取验证码并填入,正确后即跳转到下一步,然后就是输入新密码。我们在输入新密码后抓包,替换手机号放包即可重置。
      

                                   
    登录/注册后可看大图

    方法四:修改返回包内容,把错误的改为正确的。

      具体来看一个实例:
      我在输入好手机号获取验证码后,随便输入一个数字。然后抓包
      

                                   
    登录/注册后可看大图


    截取返回包 修改1为0。
      

                                   
    登录/注册后可看大图



    方法五:获取验证码时手机号为明文,修改为自己的从而达到欺骗验证。

      这种方法由于我在挖掘APP漏洞中暂时没有遇到,所以无法找到APP实例,但是有一个WEB实例,这里也贴上来,思路方法都是一样的。WEB实例作者:离心
      

                                   
    登录/注册后可看大图

      改为自己的,即可收到验证码。
      

                                   
    登录/注册后可看大图
       

    0x02 支付漏洞正文

      方法一:修改金额
      还是来看一个实例,确认支付时候抓包,截取返回包。
      

                                   
    登录/注册后可看大图

    本帖隐藏的内容

                                   
    登录/注册后可看大图

        嘿嘿,放包即可成功一毛钱买飞机杯^_^
      方法二:修改金额为负数。
      此方法我目前没有遇到过,所以不配实例,操作起来也是一样的。
    0x03 任意用户未授权登录

      方法一:登录时抓包,修改uid
      

                                   
    登录/注册后可看大图


    0x04 总结


      以上漏洞修复方法:找回密码凭证够复杂并且不可猜测,同时注意以上逻辑问题,不可存在越权,或者重要的凭证在不该出现的地方出现。




    回复

    使用道具 举报

  • TA的每日心情
    郁闷
    2015-11-25 01:02
  • 签到天数: 49 天

    [LV.5]常住居民I

    发表于 2016-8-13 17:00:19 | 显示全部楼层
    标题取得太大,不需要联系方式。。。文章里面。。
  • TA的每日心情
    奋斗
    2017-3-7 01:49
  • 签到天数: 79 天

    [LV.6]常住居民II

    发表于 2016-8-13 20:41:31 | 显示全部楼层
    我很想知道露珠在修改支付的时候%&……()……()……()*…
    现在在监狱么?
  • TA的每日心情
    开心
    2016-10-13 10:27
  • 签到天数: 38 天

    [LV.5]常住居民I

    发表于 2016-8-13 22:52:15 | 显示全部楼层
    这篇文章不错
  • TA的每日心情
    慵懒
    2015-10-25 08:36
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2016-8-13 23:07:58 | 显示全部楼层
      get到新姿势:lol
  • TA的每日心情
    擦汗
    2016-11-18 17:41
  • 签到天数: 105 天

    [LV.6]常住居民II

     楼主| 发表于 2016-8-13 23:14:43 | 显示全部楼层
    煎饼果子 发表于 2016-8-13 20:41
    我很想知道露珠在修改支付的时候%&……()……()……()*…
    现在在监狱么?

    不在哦,并没有付款,已经提交漏洞平台了。
  • TA的每日心情
    奋斗
    2017-3-7 01:49
  • 签到天数: 79 天

    [LV.6]常住居民II

    发表于 2016-8-13 23:55:49 | 显示全部楼层
    Can 发表于 2016-8-13 23:14
    不在哦,并没有付款,已经提交漏洞平台了。

    那就行,貌似很多人现在已经从菊花变成了向日葵~~~~~~~~~~~~~~~
  • TA的每日心情
    奋斗
    前天 01:04
  • 签到天数: 123 天

    [LV.7]常住居民III

    发表于 2016-8-14 01:32:32 | 显示全部楼层
    :lol楼主总结的很详细呀  :lol
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-3-23 18:27 , Processed in 0.222393 second(s), 32 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表