github
/
PenetrationTestingScripts
mirror of https://github.com/ym2011/PenetrationTestingScripts
1
0
Fork 0
Code Issues Projects Releases Wiki Activity
PenetrationTestingScripts/payloads/other/Business security vulnerabi...

67 lines
4.2 KiB
Plaintext
Raw Blame History

This file contains ambiguous Unicode characters!

This file contains ambiguous Unicode characters that may be confused with others in your current locale. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to highlight these characters.

业务安全TOP 10
1 身份认证安全
1 暴力破解--Burpsuite、htpwdScan、hydra
2 cookie&session--cookie仿冒、会话固定攻击
3 加密测试--弱加密、HTTP、
2 业务一致性安全
1 手机号篡改--抓包修改手机号码参数为其他号码尝试
2 邮箱和用户名更改--抓包修改用户或者邮箱参数为其他用户或者邮箱
3 订单ID更改--查看自己的订单id增删修改id查看是否能查看其它订单信息。
4 商品编号更改--例如积分兑换处100个积分只能换商品编号为001,1000个积分只能换商品编号005在100积分换商品的时候抓包把换商品的编号修改为005用低积分换区高积分商品。
5 用户ID篡改--抓包查看自己的用户id然后增删id查看是否能查看其它用户id信息。
3 业务数据篡改
1 金额数据篡改--抓包修改金额等字段,例如在支付页面抓取请求中商品的金额字段,修改成任意数额的金额并提交,查看能否以修改后的金额数据完成业务流程
2 商品数量篡改--抓包修改商品数量等字段,将请求中的商品数量修改成任意数额,如负数并提交,查看能否以修改后的数量完成业务流程
3 最大数限制突破--很多商品限制用户购买数量时服务器仅在页面通过js脚本限制未在服务器端校验用户提交的数量通过抓包修改商品最大数限制将请求中的商品数量改为大于最大数限制的值查看能否以修改后的数量完成业务流程。
4 本地JS参数修改--部分应用程序通过Javascript处理用户提交的请求通过修改Javascript脚本测试修改后的数据是否影响到用户。
4 用户输入合规性
1 注入
2 XSS
3 FUZZ--功能测试用的多一些,有可能一个超长特殊字符串导致系统拒绝服务或者功能缺失
4 其他用用户输入交互的应用漏洞
5 密码找回漏洞
--http://drops.wooyun.org/web/5048
正常访问,不同的找回方式,记录
分析数据包,定位敏感信息
分析找回机制
修改数据包验证
6 验证码突破
1 暴力破解--使用burp对特定的验证码进行暴力破解
2 时间、次数突破--抓取携带验证码的数据包不断重复提交,例如:在投诉建议处输入要投诉的内容信息,及验证码参数,此时抓包重复提交数据包,查看历史投诉中是否存在重复提交的参数信
3 验证码客户端回显测试--当客户端有需要和服务器进行交互发送验证码时即可使用firefox按F12调出firebug就可看到客户端与服务器进行交互的详细信息
4 验证码绕过测试--当第一步向第二步跳转时,抓取数据包,对验证码进行篡改清空测试,验证该步骤验证码是否可以绕过
5 验证码js绕过--短信验证码验证程序逻辑存在缺陷业务流程的第一步、第二部、第三步都是放在同一个页面里验证第一步验证码是通过js来判断的可以修改验证码在没有获取验证码的情况下可以填写实名信息并且提交成功。
7 业务授权安全
1 未授权访问 --非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访问到的页面或文本信息。可以尝试在登录某网站前台或后台之后,将相关的页面链接复制于其他浏览器或其他电脑上进行访问,看是否能访问成功。
2 越权测试--垂直越权、水平越权、http://drops.wooyun.org/tips/727
8 业务流程乱序
1顺序执行缺陷--部分网站逻辑可能是先A过程后B过程然后C过程最后D过程
--用户控制着他们给应用程序发送的每一个请求因此能够按照任何顺序进行访问。于是用户就从B直接进入了D过程就绕过了C。如果C是支付过程那么用户就绕过了支付过程而买到了一件商品。如果C是验证过程就会绕过验证直接进入网站程序了。
9 业务接口调用
1 重放攻击--在短信、邮件调用业务或生成业务数据环节中(类:短信验证码,邮件验证码,订单生成,评论提交等),对其业务环节进行调用(重放)测试。如果业务经过调用(重放)后被多次生成有效的业务或数据结果
--恶意注册、短信炸弹--在测试的过程中我们发现众多的金融交易平台仅在前端通过JS校验时间来控制短信发送按钮但后台并未对发送做任何限制导致可通过重放包的方式大量发送恶意短信
2 内容编辑
10 时效绕过测试
1 时间刷新缺陷--12306网站的买票业务是每隔5s票会刷新一次。但是这个时间确实在本地设置的间隔。于是在控制台就可以将这个时间的关联变量重新设置成1s或者更小这样刷新的时间就会大幅度缩短主要更改autoSearchTime本地参数
2 时间范围测试--针对某些带有时间限制的业务修改其时间限制范围例如在某项时间限制范围内查询的业务修改含有时间明文字段的请求并提交查看能否绕过时间限制完成业务流程。例如通过更改查询手机网厅的受理记录的month范围可以突破默认只能查询六个月的记录。
应用程序逻辑错误总结 http://drops.wooyun.org/papers/1418
密码找回功能可能存在的问题 http://drops.wooyun.org/papers/287
密码找回功能可能存在的问题(补充) http://drops.wooyun.org/web/3295
密码找回逻辑漏洞总结 http://drops.wooyun.org/web/5048
支付漏洞的三种常见类型——加固方案 http://zone.wooyun.org/content/878
在线支付逻辑漏洞总结 http://drops.wooyun.org/papers/345
金融行业平台常见安全漏洞与防御 http://www.freebuf.com/news/special/61082.html
我的越权之道 http://drops.wooyun.org/tips/727
安全科普看视频理解Web应用安全漏洞TOP10 http://www.freebuf.com/vuls/63426.html
Reference in New Issue View Git Blame Copy Permalink