logical-Vulnerable

 · 2020-6-4 · 次阅读


从微信中学到的逻辑漏洞

看一篇文章还是不能光浏览了事,做一下简单的笔记。

上文中,笔者采用了密码重置缺乏速率限制+Code暴力枚举+更改用户绑定邮箱

这个密码重置缺乏速率限制意思就是没有限制更改密码的快慢,导致可以使用暴力枚举的方式对验证码进行破解,从而成功更改密码。有些网站的更改密码设置的十分简单,甚至直接把信息放在get中,导致可以通过一个真正的修改密码连接修改了其他邮箱的密码。

这里我觉得是翻译错误,不是密码重置缺乏速率限制,而应该是缺乏验证码的次数限制。应该叫频率限制吧。

在成功登录了受害人的邮箱后,通过一系列抓包可以对明文尝试直接替换,往往能够直接修改一些绑定信息,而无需手机验证码进行验证。

文中笔者的总结如下:

针对登录页面或密码重置功能可以多花点心思进行研究,尤其是对其中的参数、编码或用户属性进行测试,另外,缺乏速率限制也是当前大多数Web应用存在的问题,可以考虑用它来与其它功能进行组合利用。

我的总结:

关于如何防护,其实思路很简单,限制重置链接中用户凭证处理的次数。不能将重置链接中的参数设置为用户可控制的而导致不可预料的事情出现,另外一些重要信息尽量不要以明文的信息直接显示在数据包中,导致被攻击者修改而达到越权访问,任意密码修改等等逻辑漏洞的实现。