第36天-WEB漏洞-逻辑越权之验证码与 Token 及接口

最新推荐文章于 2024-11-12 22:19:09 发布
原创 最新推荐文章于 2024-11-12 22:19:09 发布 · 936 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #php

本文探讨了验证码和Token在网络安全中的重要性,分析了验证码的常见漏洞如复用、爆破和绕过,以及Token的安全隐患,如客户端回显和遍历攻击。同时,提到了接口安全问题,包括未授权访问和水平越权,并列举了多个实例。此外,还介绍了用于验证码识别的工具和实际操作案例,以及在实战中发现这些漏洞的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

导图

在这里插入图片描述

在这里插入图片描述

验证码安全

分类:图片,手机或邮箱,语音,视频,操作等
原理:验证生成或验证过程中的逻辑问题
危害:账户权限泄漏,短信轰炸,遍历,任意用户操作等
漏洞:客户端回显(已讲),验证码复用,验证码爆破(已讲),绕过等

token 安全

基本上述同理,主要是验证中可存在绕过可继续后续测试
token 爆破,token 客户端回显等
#验证码识别插件工具使用
captcha-killer,Pkav_Http_Fuzz,reCAPTCHA 等

接口安全问题

调用,遍历,未授权,篡改等
调用案例:短信轰炸
遍历案列:UID 等遍历
callback 回调 JSONP
参数篡改:墨者靶场

水平越权:

xiaodi uid=10
1-1000 尝试能不能获取到其他编号对应的用户信息

未授权访问:

与越权漏洞区别
Jboss 未授权访问
Jenkins 未授权访问
ldap 未授权访问
Redis 未授权访问
elasticsearch 未授权访问
MenCache 未授权访问
Mongodb 未授权访问
Rsync 未授权访问
Zookeeper 未授权访问
Docker 未授权访问

更多细节见笔记文档打包的 PDF

Web 攻防之业务安全实战指南
未授权访问漏洞集合带环境及解题

涉及案例:

验证码识别插件及工具操作演示-实例

爆破验证码 PKav HTTP Fuzzer+captcha-killer

PKav HTTP Fuzzer

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

找到带验证码的后台,复制验证码的路径到工具,测试验证码识别效果。

在这里插入图片描述

captcha-killer

在这里插入图片描述

验证码绕过本地及远程验证-本地及实例

pikachu本地靶场

client

-本地验证-该验证码根本与服务端没有交互(前端验证)–>直接抓包,bp代理绕过

在这里插入图片描述

server

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IxPIrNz1-1648131098206)(image36/QQ截图20220324210616.png)]

验证码没有修改的情况下, 输入不同的用户名和密码出现如下图所示

在这里插入图片描述

在这里插入图片描述

存在验证码重用

错误的账号密码

在这里插入图片描述

正确的账号密码

在这里插入图片描述

Token 客户端回显绕过登录爆破演示-本地

客户端访问服务器, 服务器返回一个签名的token给客户端, 服务器和客户端各自保存token

以后每次请求服务器都会携带token

token的主要作用:

​ 1 防止表单重复提交

​ 2 身份验证

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

某 URL 下载接口 ID 值调用遍历测试-实例

xiaodi uid=10
1-1000 尝试能不能获取到其他编号对应的用户信息

Callback 自定义返回调用安全-漏洞测试-实例

比如支付之后,如何确定你是否支付了呢?

微信登录回调确认是否登录
在这里插入图片描述

补:上述在实战中如何做到漏洞发现-bp 功能点

涉及资源:

https://www.lanzous.com/i1z2s3e
https://www.cnblogs.com/nul1/p/12071115.html
https://github.com/c0ny1/captcha-killer/releases/tag/0.1.2
https://github.com/bit4woo/reCAPTCHA/releases/tag/v1.0

渗透测试之突破口——web服务突破
m0_61506558的博客
10-17 749
任意用户注册可爆破用户名爆破用户名,密码用户名注入万能密码用户名Xss修改返回包信息,登入他人账户修改cookie中的参数,如user,adminid等HTML源码、JS等查看信息搜集一章后台登录参数修改为注册参数/reg、/register、/sign等密码重置1.重置一个账户,不发送验证码,设置验证码为空发送请求。2.发送验证码,查看相应包3.验证码生存期的爆破4.修改相应包为成功的相应包5.手工直接跳转到校验成功的界面。
严重getToken函数随意印币漏洞 :任何人可给自己的账号虚增余额
SECBIT区块链安全实验室
07-31 708
在最近一次漏洞监控扫描中,安比(SECBIT)实验室风险监控平台发出预警,AMORCOIN (AMR) Token 合约存在致命漏洞,任何人都可以随意增加其账户上的 Token 余额。 合约地址:0x14fb4c93fe461ec3f9f22b61ab7030f258867969 安比(SECBIT)实验室小伙伴分析合约源码后发现,该合约中存在一个函数 getToken(),该函数的...
逻辑漏洞Token值回显的逻辑漏洞
qq_68163788的博客
05-06 910
Token相关的逻辑漏洞指的是在身份验证和授权过程中,未正确验证token的有效性、未及时更新或刷新tokentoken泄露导致安全风险、token过于简单易猜测被破解、token未加密存储或传输、token过期时间设置不当等问题。这些漏洞可能导致未授权访问、信息泄露、身份冒充等安全隐患,严重影响系统的安全性和数据的保密性。因此,确保token机制的安全性和完整性对于系统的安全至关重要。
WEB漏洞-逻辑越权验证码Token接口
xhscxj的博客
01-31 1955
验证码安全 分类:图片,手机或邮箱,语音,视频,操作等 原理:验证生产或验证过程中的逻辑问题 危害:账户权限泄露 ,短信轰炸,遍历,任意用户操 漏洞:客户端回显(上篇),验证码复用,验证码爆破,绕过等 burp安装验证码识别插件使用 https://github.com/c0ny1/captcha-killer/releases/tag/0.1.2 https://github.com/bit4woo/reCAPTCHA/releases/tag/v1.0 使用: 抓取验证码数据包 右键选中,发送到cap
36 WEB漏洞-逻辑越权验证码Token接口
山兔的博客
10-11 423
在支付里面,像付款完之后,会取回调结果,支付接口、对方的回显,来判断你成功否,回调的话,就相当于回调会进行相应的接收,进行相应的操作,如果程序不接受回调数据的话,那她怎么知道你是成功和失败,在这个过程中,他有涉及到接收,所以这个callback我们把它称之为接口安全,是因为它产生在接口调用的时候,然后对方这个判断标准会产生回调,所以我们在进行这个操作的时候看一下对方的回调,然后回调的数据能不能进行操作,执行一些其它的漏洞
逻辑越权验证码|token|接口36
san3144393495的博客
06-17 1725
token是类似于会话一串数字代表数据包的唯一性,数据包的编号,防止一些csrf,或者一些存放数据包的攻击;验证码,很多事情都需要验证码,如果可以绕过的话,就可以实现一些功能,比如密码修改绕过,后台登陆爆破账户密吗,经常次数过多会出现验证码。2.回显,类似于讲过的本地回显,token值会在前端进行显示,我们只需要让token值和前端显示的一样,实现绕过数据包唯一性检测。3.固定,虽然有这个token,但可以通过上一次的token操作下一次的数据包,没有检测唯一性,表面上看着有,实际上没有,
越权 漏洞
一个努力学习网安的小牛马
12-08 661
以一个用户的权限可以操作其他用户的数据,如果其他用户的权限大于这个用户,那么就称之为越权
WEB漏洞-逻辑越权
weixin_46544151的博客
04-30 1682
目录 33、逻辑越权之水平垂直越权 原理 一、Pikachu-本地水平垂直越权演示(漏洞成因) 1.水平越权 2.垂直越权 3.越权漏洞产生的原理解析: 二、墨者水平-身份认证失效漏洞实战(漏洞成因) 三、越权检测-小米范越权漏洞检测工具(工具使用) 四、越权检测-Burpsuite插件Authz安装测试(插件使用) 1.在burpsuite中插件管理找到Authz安装 2.登录mozhe靶场test用户抓包,抓取card_id 3.pikachu中测试 34、逻辑越权之支付...
三、WEB漏洞-逻辑越权
weixin_70557959的博客
05-09 2231
33、逻辑越权之水平垂直越权 原理 1.垂直越权访问 普通用户->计划专员->超级查看员->超级管理员 水平越权访问 用户A->用户B->用户C->用户D 2.水平,垂直越权,未授权访问 解释,原理,检测,利用,防御等 水平越权:通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据(权限相同)。 逻辑越权:使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。 未授权越权:通过删除请求中的认证信
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1230
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
Web安全攻防
S1942177831的博客
04-07 3529
jwt如何防止token被窃取_在吗?认识一下JWT(JSON Web Token)?
weixin_39830588的博客
11-21 2292
什么是JSON Web Token ?官网介绍:JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。尽管可以对JWT进行加密以在各方之间提供保密性,但我们将...
yapi token注入漏洞
whoami
11-21 2615
YApi 是一个可本地部署的可视化的接口管理平台。YApi 在 1.11.0 之前的版本中存在远程代码执行漏洞,因为 base.js 没有正确对 token 参数进行正确过滤,攻击者可通过 MongoDB 注入获取用户 token(包括用户 ID、项目 ID 等),进而使用自动化测试 API 接口写入待命命令,利用沙箱逃逸触发命令执行。
Token 绕过 / JWT漏洞 / 垂直越权 / WebGoat–JWT靶场 tokens–4、5、7 关
weixin_51559599的博客
12-07 4742
json 是一种数据格式,为了处理不同数据间的转换JWT 是 Token 的一种实现方式存放位置不一定,可能是 Cookie、url、Authorization 等。
36.2)【Token漏洞专题】Token的原理、认证过程、爆破过程
04-17 5029
【专题】Token爆破专题
WEB 漏洞逻辑越权验证码Token 接口相关)
最新发布
m0_57836225的博客
11-12 451
在网络安全领域中,逻辑越权是一个严重的安全问题,当涉及到验证码Token接口时,情况更为复杂。验证码本应作为防止自动化攻击的手段,如果存在漏洞,攻击者可能绕过它获取非法权限;Token 用于验证用户身份,如果其生成、存储或验证机制有问题,可能导致身份冒用;接口若没有正确的权限控制和安全设计,会被攻击者利用来越权访问敏感信息或执行未授权操作,这些都可能引发严重的安全事故。
Web安全基础学习:暴力破解漏洞Token伪造
qq_51862722的博客
06-18 1745
Token伪造漏洞:顾名思义通过伪造JWT,以特定账户的身份欺骗系统完成验证。Token伪造是一类漏洞的统称,可以是最简单的弱密钥爆破,也可以是其他高危漏洞,但无论类型如何变化,都是基于Token进行攻击并对其身份认证功能产生威胁。
越权业务逻辑漏洞
m0_51581045的博客
03-03 2909
越权业务逻辑漏洞越权支付数据/登录逻辑问题验证找回问题BP的爬虫使用 越权 漏洞原因: usertype为1时为管理员账户,其它为普通用户。 pikachu靶场实战: 水平越权:抓包改名字 垂直越权: 首先登录普通用户pikachu,可以看到对于普通用户pikachu来说只能看用户不能添加和删改。 那么登录管理员账号看看: 是可以添加账号的。 那么我们在添加账号时抓包获取session 把包发给repeater保存一下。 再登录普通用户: 在查看界面抓包, 打开repeater,用之前在ad
Token防爆破?---Token绕过
Ethan024的博客
03-18 975
Token防爆破?—Token绕过:(本文仅供技术学习分享) 实验环境 皮卡丘靶场:暴力破解—token防绕过? 实验步骤 查看页面源码,发现表单中隐藏的input的标签里面有个隐藏的Token。该Token是用户在打开页面的时候,向后台请求一个Token,后台就会产生一个新的token; 当用户提交账号和密码的时候,也会提交token值,后端会先对token进行验证。 但是该token在认证之前,会以字符串明文的方式输出到表单中,并且会被用户的脚本获取,因此无法防止暴力破解。 暴力破解防范措施
pikachu中越权漏洞的复现
weixin_48776804的博客
02-16 281
pikachu中越权漏洞的复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值