【漏洞挖掘】——165、业务处理之手机号码篡改测试

已于 2024-10-01 18:48:27 修改
阅读量507 收藏
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 【WEB渗透】 文章标签: 渗透测试 web渗透 信息安全 网络安全 业务逻辑 漏洞挖掘
于 2024-09-14 17:16:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/142262851
基本介绍

手机号通常可以代表一个用户身份,当请求中发现有手机号参数时我们可以试着修改它测试是否存在越权漏洞,系统登录功能一般先判断用户名和密码是否正确,然后通过Session机制赋予用户令牌,但是在登录后的某些功能点开发者很容易忽略登录用户的权限问题,所以当我们用A的手机号登录后操作某些功能时抓包或通过其他方式尝试篡改手机号,可对这类问题进行测试

测试过程

攻击者登录后在操作某些功能时抓包或通过其他方式尝试篡改手机号进行测试

漏洞示例

通过对App的我的-购买记录-实物订单功能进行测试,App首先通过/iget/check获取用于访问实物订单的JWT会话签名,但是服务端并没有校验sign参数签名的正确性,导致可以直接通过更改请求会话签名中的userId参数,从而获取任意用户的会话签名信息,根据签名去/api/order/gelist路由获取用户的事物订单详情,存在越权漏洞,还可以通过此漏洞获取或者更改删除任意用户地址,发票等功能,订单详情中泄露了用户的收件地址,电话,订单支付方式等隐私信息

使用会话签名成功获取任意用户实物订单详情

了解本专栏 订阅专栏 解锁全文
手机号码篡改测试-业务安全测试实操(6)
AI
06-14 955
手机号码篡改测试,用户ID篡改测试
漏洞挖掘】——164、业务处理之用户ID篡改测试
Fly_鹏程万里
09-14 309
从开发的角度来看用户登录后查看个人信息时需要通过sessionid判定用户身份,然后显示相应用户的个人信息,但有时我们发现在GET或POST请求中有userid这类参数传输,并且后台通过此参数显示对应用户隐私信息,这就导致了攻击者可以通过篡改用户ID越权访问其他用户隐私信息,黑色产业链中的攻击者也喜欢利用此类漏洞非法收集个人信息。
绑定手机号性能测试
Asaasa1的博客
07-22 810
绑定手机号唯一的难点就是如何在单账号绑定的过程中不断切换手机号,而且保证最后账号的绑定手机号还是一开始的 14+uid 的模式。 业务逻辑: traceNo traceNo 基本的校验规则如下: string traceNo 解决方案: 限制条件已经做成可配置,可以随时更改重启服务即可 选中14号段,用户手机号=14+uid 测试环境固定验证码 uid是9开头的,所以单个用户的绑定手机号在 149 和 148 之间切换, 149 为初始状态,这里并没有使用每次换一个新手机号,第一是怕出现偶然重复,第二
25-漏洞挖掘基础
weixin_53857436的博客
10-15 1071
这里可以看到是一个aes加密的,然后这里有key和他的偏移量。这个是校内的一个ctf实训平台,然后里面自己总结了一些做题的方法和思路,答题过程仅供参考,这个flag都是不一样的,大家不要复制我的,复制了也不会成功。我们可以找到一个返回包,这个返回包里很关键的信息,直接分析代码,这里的意思是当账号和密码等于admin就会登录成功,这里因为有一个session会话固定,所以我们把这个id记录下来。然后我们成功的登录进来了,我们这个时候题目要求是挂失老板的手机号,我们先抓包,再挂失的时候改成老板的实际尝试一下。
WEB攻防之业务安全测试--学习
weixin_53884648的博客
04-10 1212
在浏览器中存在着同源策略,所谓同源是指域名、协议、端口相同。当使用 Ajax 异步 传输数据时,非同源域名之间会存在限制。其中有一种解决方法是 JSONP(JSON with Padding),基本原理是利用了 HTML 里元素标签,远程调用 JSON 文件来 实现数据传递。
src案例分享-逻辑漏洞
qq_74349936的博客
03-26 464
希望对新手小白有所帮助。
漏洞挖掘】——166、业务处理之邮箱用户篡改测试
Fly_鹏程万里
10-07 251
在发送邮件或站内消息时篡改其中的发件人参数,导致攻击者可以伪造发信人进行钓鱼攻击等操作,这也是一种平行权限绕过漏洞,用户登录成功后拥有发信权限,开发者就信任了客户端传来的发件人参数,导致业务安全问题出现。
漏洞挖掘】——163、业务处理之订单ID篡改测试
Fly_鹏程万里
09-14 280
在有电子交易业务的网站中用户登录后可以下订单购买相应产品,购买成功后用户可以查看订单的详情,当开发人员没有考虑登录后用户间权限隔离的问题时就会导致平行权限绕过漏洞,攻击者只需注册一个普通账户就可以通过篡改、遍历订单id,获得其他用户订单详情,其中多数会包括用户的姓名、身份证、地址、电话号码等敏感隐私信息,黑色产业链中的攻击者通常会利用此漏洞得到这些隐私信息。
漏洞挖掘】——167、业务处理之商品编号的篡改
Fly_鹏程万里
10-07 234
在交易支付类型的业务中最常见的业务漏洞就是修改商品金额,例如在生成商品订 单、跳转支付页面时,修改HTTP请求中的金额参数,可以实现1分买充值卡、1元买特斯拉等操作,此类攻击很难从流量中匹配识别出来,通常只有在事后财务结算时发现大额账务问题才会被发现,此时攻击者可能已经通过该漏洞获得了大量利益,如果金额较 小或财务审核不严,攻击者则可能细水长流,从中获得持续的利益,事后发现此类漏洞 就大大增加了追责的难度和成本。
手机号码篡改测试
Sun_12_2的博客
11-12 387
是一种安全测试手段,旨在检查系统或应用在处理用户手机号码时是否存在安全漏洞。这种测试通常针对那些允许用户输入或修改手机号码的功能点,通过篡改手机号码来尝试访问或操作其他用户的信息,从而揭示潜在的安全风险。在许多系统或应用中,手机号码被用于用户登录、验证身份、接收验证码等关键操作。如果开发者在处理手机号码时没有充分考虑安全性,就可能导致手机号码篡改漏洞。综上所述,手机号码篡改测试漏洞挖掘中的一项重要测试方法,有助于发现并修复手机号码处理过程中的安全漏洞,保障用户信息的安全。
Xpose实战一:来,让我们任性登录,替换掉它的登录验证
u012763405的博客
12-26 646
                                         来,让我们任性登录,替换掉它的登录验证 每次登录,注册输入账号密码是多么繁琐的事情,烦!就要破解它,如果能把app里面的登录验证函数换成我们的“无敌登录”那是多么吊炸天的事。如果可以“QQ,微信,支付宝(咳咳想多了)”,不过就这样想想是多么激动的事情。 无敌登录的意思是:把人家的验证程序换成“自己的无敌登录...
软件测试测试用例
weixin_43894652的博客
02-28 1416
测试用例又叫做test case,是为某个特殊目标而编制的一组测试输入、执行条件以及预期结果,以便测试某个程序路径或核实是否满足某个特定需求。
《软件测试》实验程序
编程洪同学
10-23 2331
大家好,我是中国码农绿茶哥哥。 1 技术栈 1.1 前端 开发工具:WebStorm 框架:Vue 3 Web UI:Element 请求:Axios 路由:Vue Router 1.2 后端 JDK 1.8 开发工具:IDEA 框架: SpringBoot 2.x 1.3 测试 测试工具:Postman 2 项目简介 2.1 项目架构 前后端分离 结构 . ├── software-testing-web // 前端项目 ├── software-testing.
测试用例(功能用例)——登录、首页、个人信息
红目香薰
05-29 4万+
资产管理系统测试用例 测试用例编号 功能点 用例说明 前置条件 输入 执行步骤 预期结果 重要程度 执行用例测试结果 1、登录模块(测试用例个数:20个) ZCGL-ST-SRS001-001 登录功能测试 登录界面正确性验证 登录页面正常显示 无 无 界面显示文字和按钮文字显示正确,按钮齐全,控件整齐 低 通过 ZCGL-ST-SR
接口调用参数篡改测试
酷狗直播-锦凡歆的博客
05-28 807
接口调用参数篡改测试 在短信、邮件调用业务环节中,例如短信验证码、邮件验证码。修改对应请求中手机号或邮箱地址参数值提交后,如果修改后的手机号或邮箱收到系统发送的信息,则表示接口数据调用参数可篡改。 作者: 锦凡歆在‘来疯’直播唱歌最好听 修复建议 (1)会话Session中存储重要的凭证,在忘记密码、重新发送验证码等业务中,从 Session获取用户凭证而不是从客户请求...
WEB业务逻辑漏洞分析
weixin_44311721的博客
04-18 1404
Web业务漏洞分析 1:登录认证模块 1.1 暴力破解测试 测试方法: 针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密码进行逐一比较,直到找出正确的账号和密码。具体有两种情况,①已知账号,结合密码字典对密码进行穷举;②未知账号,加载账号字典,并结合密码字典进行穷举。 修复建议: (1) 增加验证码,登录失败一次,验证码变换一次。 (2) 配置登录失败次数限制策略,如在同一用户尝试登录的...
手机、电话号码、邮箱、域名、身份证号的测试用例
热门推荐
mr_lady的博客
12-21 4万+
测试的时候会遇到一些特殊的填写项,这些输入项不是简单随意的字符组合,有一定的实际意义和实际规则,需要验证其正确性。比如手机号码,一定是“1”开头的纯数字,如果输入2开头的就得给出错误提示。        以下我归纳常用具有实际意义和规则的填写项的测试用例。若有疏漏或错误欢迎补充。 1.手机号码 手机号码:我国使用的手机号码为11位(1999年7月22日从10位全面升级为11位),其中各段有不
全国各省手机号测试用例
Aldeo
12-26 4572
最近在写一个查询手机号码归属地的服务,需要用到全国各个省的手机号码作验证,本人整理的手机号码如下(后面4位大家随便填写),希望对大家有帮助。 1300002 安徽 1300010 北京 1300099 福建 1300870 甘肃 1300040 广东 1300059 广西 1300780 贵州 1300140 河北 1300500 海南 1...
“邮箱”“验证码”“手机号码”输入框测试用例
stacey_sz的博客
12-15 1万+
一:邮箱输入框   1:不输入任何字符   2:输入中文空格   3:输入英文空格   4:字符串中没有@和点  例如:huiyanni163com   5:字符串中有@没有点  例如:huiyanni@163com   6:字符串中没有@有点   7:字符串中特殊字符   例如:$huiyanni@163.com   8:@和点都存在   9:第一个字符串味@    例如:@1
SRC漏洞扫描挖掘工具
最新发布
10-24
<think>嗯,用户想查找用于SRC漏洞扫描挖掘的工具。结合引用内容来看,用户可能是个刚入门的白帽子,正在寻找适合自己的工具组合。 引用[2]明确推荐了BBscan这种轻量级扫描器,特别强调路径扫描能力(403/404检测、API端点爆破)。用户可能更关注实际操作层面的工具而非理论,需要具体推荐而非泛泛而谈。 引用[3]提到资产搜集的重要性(阿里18周年案例),提示我不仅要推荐工具,还要说明如何组合使用。用户可能面临新业务上线时期的漏洞挖掘场景,需要强化资产发现类工具推荐。 引用[1]强调心态调整,说明用户可能遇到挖掘效率低的困境。工具推荐要侧重效率提升,比如Xray的被动代理这类能减轻重复劳动的工具。 引用[4]的技术中立声明暗示需强调工具合法性。特别是目录扫描类工具要提醒授权问题,避免用户踩红线。 考虑到SRC挖掘的特殊性: - 需要非侵入式工具(避免触发WAF封禁) - 重点在Web/API资产 - 新业务跟踪很关键 工具清单应分层设计:资产发现→漏洞扫描→手工辅助。特别要突出BBscan的目录爆破优势,以及如何配合手工测试(如引用[2]说的"不要太依赖扫描器")。 用户没提具体技术栈,但引用[3]提到APP和CS架构,所以补充了AppInfoScanner和Apktool。最后用注意事项收尾很必要,尤其是速率控制这点,新手容易忽视。 </think>基于SRC漏洞挖掘的特点(资产广、更新快、需持久战),以下工具组合兼顾效率与深度,重点解决三个核心问题:**资产发现→漏洞扫描→手工验证**: --- ### **一、 核心工具推荐** #### **1. 资产侦查层(解决“扫什么”问题)** 工具 | 用途 | 优势 ---|---|--- **BBscan** [^2] | 轻量级目录/子域名扫描 | `低噪音`、`路径爆破强`(403/404过滤)、`API端点探测` **Amass** | 被动域名搜集 | 聚合证书/搜索引擎/DNS数据源 **ARL (Asset Recon Lighthouse)** | 自动化资产监控 | 定时爬取新域名/端口/服务 > 📌 *关键策略*: > - 用BBscan爆破新业务路径(如`jd.com/rental`, `xxx.com/newapi`)[^3] > - 结合企业最新活动定向扫描(如“618活动子站”) #### **2. 漏洞扫描层(解决“高效扫”问题)** 工具 | 适用场景 | 注意事项 ---|---|--- **Xray** | 被动代理扫描(Burp联动) | 高危漏洞快速筛查(SQLi/XSS) **Nuclei** | 基于模板的精准检测 | 自定义PoC响应特征(如状态码/关键字) **vulmap** | 漏洞验证框架 | 避免误报需人工复核 > ️ *避坑指南*: > - 禁用高强度扫描(易触发WAF封IP) > - 优先使用**签名扫描**(如Nuclei的CVE模板)降低误报 #### **3. 手工辅助层(解决“扫不到”问题)** 工具 | 核心能力 | 典型场景 ---|---|--- **Burp Suite Pro** | 数据包篡改/重放 | 越权测试业务逻辑漏洞 **Postman** | API接口遍历 | 参数污染/未授权访问 **Wappalyzer** | 技术栈识别 | 针对性利用框架漏洞(如Shiro反序列化) > 🔍 *深度技巧*: > - 对API接口用Postman做**参数FUZZ**(如修改`user_id=100→101`越权) > - 用Wappalyzer识别JS框架,查找**暴露的SourceMap源码** [^3] --- ### **二、 高阶场景工具扩展** - **APP漏洞挖掘**: - **AppInfoScanner**:提取APK中API/硬编码密钥 - **Apktool**:反编译审计业务逻辑漏洞 - **C/S架构**: - **Wireshark**:抓包分析协议漏洞 - **Ghidra**:二进制逆向分析 --- ### **三、 避坑原则** 1. **速率控制**: BBscan设置`-t 5`(5线程)避免封IP [^2] 2. **合法性优先**: 扫描前务必获得**书面授权**(参考引用[4]的合规声明) 3. **结果验证**: Nuclei/Xray的结果必须**手动复现**(截图+数据包证明) > 💡 *心态调整*:工具仅覆盖30%漏洞,70%依赖**业务理解**(如京东房产的订单逻辑)[^1][^3]。持续跟踪企业新业务(如金融/租赁模块)是突破关键。 --- ### **相关问题** 1. 如何避免漏洞扫描被WAF封禁IP? 2. SRC挖掘中哪些业务逻辑漏洞最常被忽略? 3. 如何高效监控目标企业的新业务上线? > 引用提示:资产广度决定漏洞广度,深度依赖人工逻辑推理 —— 工具自动化仅是辅助,真正的漏洞在开发者的思维盲区中[^3][^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值