Web 攻防之业务安全:验证码绕过测试.
Posted 半个西瓜.
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Web 攻防之业务安全:验证码绕过测试.相关的知识,希望对你有一定的参考价值。
Web 攻防之业务安全:验证码绕过测试.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。
目录:
第二步:点击注册并通过 Burp Suite 对数据包进行拦截,右击选择 DOintercept >> Response to this request
第四步:点击 Forword (放包) 后,就可以成功注册该电话号码“ 13333333333 ” 的账号,并成功登录到用户页面。
免责声明:
严禁利用本文章中所提到的技术进行非法攻击,否则后果自负,上传者不承担任何责任。
验证码绕过测试:
测试原理和方法:
通过修改前端提交服务器返回的数据,可以实现绕过验证码,执行我们的请求.
测试过程:
攻击者进入注册账户页面,输入任意手机号码获取验证码。在注册账户页面填写任意验证码,提交请求并抓包,使用抓包工具(Burp Suite)查看并修改返回报的信息转发,返回数据包查看是否注册成功。
第一步:首先输入任意手机号码和密码。我们以此 “ 13333333333 ” 为例,点击获取手机验证码,由于我们无法获取到 “ 13333333333 ” 这个验证码的真实验证码,我们随机填写一个验证码“ 33333 ”.
第二步:点击注册并通过 Burp Suite 对数据包进行拦截,右击选择 DOintercept >> Response to this request
第三步:点击 Forword (放包) 后,在 Burp Suite 工具里显示的就是网站返回的数据包,因此我们填写的手机验证码 “33333” 肯定是错的。此时 res_code 的值为1,为了证明认证码错误时 res_code 的值为1,我们将返回的数据包中 res_code 的值改为0,从而实现绕过验证码。
第四步:点击 Forword (放包) 后,就可以成功注册该电话号码“ 13333333333 ” 的账号,并成功登录到用户页面。
修复建议:
在服务器端增加验证码的验证机制,对客户端提交的认证码进行二次校验.
学习的书籍:Web 攻防之业务安全实战指南.
短信验证码之验证码回显
短信验证码之验证码回显
前序
验证码回显的安全问题主要出在研发人员关于账号安全体系的认识。存在一些逻辑问题导致。而由于意识问题,一处的逻辑问题,则可能会导致账号注册、密码找回等更加高危的风险。从而影响正常业务开展。正好朋友研发的校内商城需要上线,遂对其进行了一些测试。
关于测试内容
测试的内容是某所大学,校内的便利商城。业务开展大概就是,代取快递,代打饭等业务(话说现在的某些大学生真的是有点懒了)
关于测试过程
商城是基于微信公众号展开研发的,所以测试过程中只能依靠手机+burp的形式进行。
Burp是之前都配置好的环境,我们直接抓包。
到个人界面这一块。
对绑定的手机号进行抓包处理。
可见repeater 的response直接就可以看见。
总结
后端逻辑问题,攻击方法简单。危害性大,项目上线后将导致严重影响。
以上是关于Web 攻防之业务安全:验证码绕过测试.的主要内容,如果未能解决你的问题,请参考以下文章