Web 攻防之业务安全:验证码绕过测试.

Posted 半个西瓜.

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Web 攻防之业务安全:验证码绕过测试.相关的知识,希望对你有一定的参考价值。

Web 攻防之业务安全:验证码绕过测试.

业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全狭义的业务安全指业务系统自有的软件与服务的安全


目录:

验证码绕过测试:

测试原理和方法:

测试过程:

第一步:首先输入任意手机号码和密码。我们以此 “ 13333333333 ” 为例,点击获取手机验证码,由于我们无法获取到 “ 13333333333 ” 这个验证码的真实验证码,我们随机填写一个验证码“ 33333 ”.

第二步:点击注册并通过 Burp Suite 对数据包进行拦截,右击选择 DOintercept    >>  Response to this request

第三步:点击  Forword (放包) 后,在 Burp Suite 工具里显示的就是网站返回的数据包,因此我们填写的手机验证码 “33333” 肯定是错的。此时 res_code 的值为1,为了证明认证码错误时 res_code 的值为1,我们将返回的数据包中 res_code 的值改为0,从而实现绕过验证码。

第四步:点击  Forword (放包) 后,就可以成功注册该电话号码“ 13333333333 ” 的账号,并成功登录到用户页面。

修复建议:


免责声明:

严禁利用本文章中所提到的技术进行非法攻击,否则后果自负,上传者不承担任何责任。


验证码绕过测试:

测试原理和方法:

通过修改前端提交服务器返回的数据,可以实现绕过验证码,执行我们的请求.


测试过程:

攻击者进入注册账户页面,输入任意手机号码获取验证码。在注册账户页面填写任意验证码,提交请求并抓包,使用抓包工具(Burp Suite)查看并修改返回报的信息转发,返回数据包查看是否注册成功。


第一步:首先输入任意手机号码和密码。我们以此 “ 13333333333 ” 为例,点击获取手机验证码,由于我们无法获取到 “ 13333333333 ” 这个验证码的真实验证码,我们随机填写一个验证码“ 33333 ”.


第二步:点击注册并通过 Burp Suite 对数据包进行拦截,右击选择 DOintercept    >>  Response to this request


第三步:点击  Forword (放包) 后,在 Burp Suite 工具里显示的就是网站返回的数据包,因此我们填写的手机验证码 “33333” 肯定是错的。此时 res_code 的值为1,为了证明认证码错误时 res_code 的值为1,我们将返回的数据包中 res_code 的值改为0,从而实现绕过验证码。


第四步:点击  Forword (放包) 后,就可以成功注册该电话号码“ 13333333333 ” 的账号,并成功登录到用户页面。


修复建议:

在服务器端增加验证码的验证机制,对客户端提交的认证码进行二次校验.

     

    

学习的书籍:Web 攻防之业务安全实战指南.

短信验证码之验证码回显

短信验证码之验证码回显

前序

  验证码回显的安全问题主要出在研发人员关于账号安全体系的认识。存在一些逻辑问题导致。而由于意识问题,一处的逻辑问题,则可能会导致账号注册、密码找回等更加高危的风险。从而影响正常业务开展。正好朋友研发的校内商城需要上线,遂对其进行了一些测试。

关于测试内容

       测试的内容是某所大学,校内的便利商城。业务开展大概就是,代取快递,代打饭等业务(话说现在的某些大学生真的是有点懒了)

关于测试过程

商城是基于微信公众号展开研发的,所以测试过程中只能依靠手机+burp的形式进行。

技术分享图片

 

Burp是之前都配置好的环境,我们直接抓包。

到个人界面这一块。

 技术分享图片

 

对绑定的手机号进行抓包处理。

 技术分享图片

 

可见repeater 的response直接就可以看见。

 技术分享图片

 

 

总结

       后端逻辑问题,攻击方法简单。危害性大,项目上线后将导致严重影响。

 

以上是关于Web 攻防之业务安全:验证码绕过测试.的主要内容,如果未能解决你的问题,请参考以下文章

业务安全漏洞总结

Web安全黑铁到传说四.常见漏洞攻防之SQL注入基础详解(权限提升绕过技巧注入技巧)

WEB安全新玩法 [2] 防范前端验证绕过

安全攻防实战系列MSF

《Web安全攻防》配套视频之XSS实验平台搭建

科普:常见验证码的弱点与验证码识别