复现业务逻辑漏洞

原创 已于 2023-11-27 18:47:57 修改 · 547 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2023-11-27 18:12:35 首次发布

业务逻辑漏洞

定义:由于开发者的逻辑不严谨,造成的程序功能异常。简单来说就是开发者的代码有问题。

特点:业务逻辑漏洞无法被扫描器扫描到

举例

  • 暴力破解

  • 任意用户/密码登录

  • 短信/邮箱轰炸

  • 验证码绕过/爆破/重放/回传

  • 用户名/手机号枚举

  • 越权登录(例如修改数据包中用户ID) 越权=>高危

  • 商品金额/数据篡改

  • 整数溢出,int 最大值为 2147482647(2的31次方-1)

复现

1. 修改商品任意价格

BP抓包

提交,修改,放包

此时成功修改单价,0元购

2. 整数溢出

int 最大值为 2147482647(2的31次方-1),在一些小型购物网站可能仍存在

数量在2147482647,输出正常

将数量提高到2147482647以上,触发整数溢出

以Java的 “int” 为例

public class Int {
    public static void main(String[] args) {
        int p1 = 2147483647;
        int p2 = p1+1;
        System.out.println("未溢出的支持支付的最大金额:"+p1);
        System.out.println("溢出后要支付的金额:"+p2);
    }
}

3. 验证码绕过

演示于Pikachu靶场

3.1 前端绕过

原理:

        根据浏览器要求输入验证码,抓到数据包之后,直接在数据包里面把数据包给删掉都不影响爆破操作。

        前端的验证码都存在一个验证码复用的问题,抓到包之后不动包里的验证码,直接修改需要用于爆破的用户名密码,然后发包,就能进行爆破,因为爆破过程不会触发前端的验证码更改逻辑,验证码还是抓包抓到的那个。

演示:

账号密码随便输入(假装爆破

先输入错误的验证码,查看报错信息

输入正确验证码并抓包

发送给Repeater

发现左侧验证码改变

但包内的验证码仍为改变之前的验证码,并重新发包

此时仍然能得到正确的回显(右侧提示内容显示当前登录用户名或密码不存在,证明成功绕过验证码)

更改用户名,甚至更改包内验证码并重新发包验证,仍能成功回显

(即使删掉包内验证码也能成功回显,可以进行爆破)

3.2 后端(服务器)绕过

原理:

验证码在后台不过期,可以长期被使用

演示:

输入正确的验证码,并抓包

上图的        ”username or password is not exists~“        可以视作验证码输入成功的回显

发送给Repeater,此时验证码触发刷新条件,自动更新

在Repeater中修改验证码为左侧新的验证码,并重新发包

此时左侧验证码没有刷新,右侧提示内容显示当前登录用户名或密码不存在,证明成功绕过验证码

不更改包内验证码,更改用户名并重新发包验证

验证成功,绕过前端验证码,可进行爆破

Retr10010
关注
业务逻辑漏洞复现
m0_56578216的博客
09-06 213
登录portswigger,在all-labs中选择下面的题目:打开后选择第一个商品:打开后数量选择1,并用bp拦截数据包,点击添加购物车:修改价格为1,点击发包后取消拦截:商品成功添加到购物车,在购物车中查看价格变成了0.01元。
业务逻辑支付漏洞靶场复现(dami,niushop,cmseasy)
2301_76631050的博客
08-02 819
首先通过注册页面注册账户,并登录。
业务逻辑漏洞】整数溢出
wj33333的博客
11-27 1265
整数溢出是一种常见的编程错误,它发生在将一个数值转换成超过其最大值或最小值所能表示范围内的另一个数值时。这可能会导致程序崩溃或产生不正确的结果。在业务逻辑漏洞中,整数溢出也是一个常见的问题。例如,如果一个程序需要处理大量的数据,而没有正确地处理整数溢出的情况,则可能会引发安全问题。例如,攻击者可能会利用整数溢出来绕过访问控制、操纵数据或改变程序的行为。2147483647是一个典型的整数溢出的例子。这是一个32位整数的极限值,因为它超过了该类型的最高有效值(0x7FFFFFFF),因此会产生溢出
burp靶场--业务逻辑漏洞
qq_33168924的博客
01-23 2589
登录账号,购买商品的数量一次最多可以 +99,可以用 Burp 的 intruder 送到 Overflow。###【管理接口鉴定权限错误+修改账号邮箱地址未校验,导致管理接口以邮箱号为权限认定方式导致绕过】添加其他商品,用同样的方法在intruder操作,直到总金额为0-100。重新修改商品购物车:总价为正,指定商品l33t为正数,购买成功。
国内第一个业务逻辑漏洞靶场终于来了!
最新发布
JAVA高级架构
09-12 322
摘要:为解决国内缺乏中文业务逻辑漏洞靶场的问题,八方网域推出了一款基于SpringBoot+MyBatis的中文靶场。该靶场采用MySQL 5.7数据库,JDK11开发,专注于复现用户名枚举、短信轰炸、越权访问等18类常见业务逻辑漏洞,提供纯盲打、漏洞清单、配套课程三种练习模式。目前靶场仅对机构VIP学员开放,将持续更新漏洞类型和配套教学资源。项目基础代码由腾讯CodeBuddy开发支持。
记在墨者学院业务逻辑漏洞靶场实战感受
weixin_50146421的博客
06-10 1558
思路:观察第一个页面需要重置171手机号密码,第二个页面中有四个输入表单,未知的是验证码,所以从验证码下手,在一个看说明,即188手机号已经注册,也就是188可以收到验证码,那么可不可以直接用188手机号获取到验证码,然后用来给171重置密码呢?思路:可以观察余额为1,书的价格超出预算,可以拿bp抓包,然后修改书的价格,达成0元购买,观察bi11和bi22参数分别为10 20 ,对应书的价格,将其改为0,然后放行数据包 即可找到key。防止在登录页面,注册页面,密码修改页面等出现逻辑错误。
【burpsuite安全练兵场-服务端5】业务逻辑漏洞-11个实验(全)
热门推荐
01-03 1万+
【BP靶场portswigger-服务端5-业务逻辑漏洞】11个实验-万文详细步骤
业务逻辑漏洞(靶场) fiddler
weixin_74182283的博客
04-10 1045
一款网络抓包工具,和burpusite是一个东西,使用上也大差不离,为了防止bp出现问题使用一款其他工具介绍,并且fiddler免费(虽然bp破解版已经烂大街了)。ps(正常情况用bp就行,功能会比fiddler强)
业务逻辑支付漏洞靶场复现dami,niu,cmseasy
C233333235的博客
08-02 524
2.打开产品展示页面随便选择一个产品,选择站内付款,因为我们账号是刚注册的,里面并没有钱,所以正常买东西是买不了的。1.我们下载安装好靶场后打开,进入首页,注册账号后登录。3.但是这里可以将产品数量改为-1,发现也可以正常购买。然后到会员中心里查看,发现我们的余额变成了5400。
实用的业务逻辑漏洞
hackzkaq的博客
05-07 736
传统安全测试主要依靠基于漏洞类型的自动化扫描检测,辅以人工测试,来发现如SQL注入、XSS、任意文件上传、远程命令执行等传统类型的漏洞,这种方式往往容易忽略业务系统的业务流程设计缺陷、业务逻辑、业务数据流转、业务权限、业务数据方面的安全风险。 过度依赖基于漏洞的传统安全测试方式脱离了业务系统本身,不与业务数据相关联,很难发现业务层面的漏洞,企业很可能因为简单的业务逻辑漏洞而蒙受巨大损失。 一.登录认证模块 1.暴力破解测试 概述 暴力破解测试是指针对应用系统用户
[红日安全]Web安全Day6 - 业务逻辑漏洞实战攻防
hongrisec的博客
02-29 1012
本文由红日安全成员: Orion 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Python...
逻辑漏洞——业务逻辑问题
Gjqhs的博客
03-03 1575
普及常见业务逻辑漏洞与测试业务逻辑漏洞方法 业务逻辑 不同的项目有不同的功能,不同的功能需要不同的实现,实现这些核心功能的代码就叫业务逻辑。 比如实现两个数求和功能,所写的如何获得任意给定的两个数的和,这个程序实现过程即可成为 业务逻辑处理。 业务是指一个实体单元向另一个实体单元提供的服务。 逻辑是指根据已有的信息推出合理的结论的规律。 业务逻辑是指一个实体单元为了向另一个实体单元提供服务,应该具备的规则与流程 业务逻辑的内容包括四个部分: 领域实体:定义了业务中的对象,对...
漏洞技术分析实践_整数溢出
kitsch0x97的博客
10-25 1186
整数溢出漏洞发生在当整数存储超出其数据类型所能表示的范围时。主要原因在于计算机中的整数类型分为有符号整数和无符号整数。有符号整数使用最高位来表示正负号:0 表示正数,1 表示负数,而无符号整数没有这个规则。常见的整数类型有 8 位、16 位和 32 位等。整数溢出通常发生在存储的值超出了该类型可表示的范围时,从而导致数据异常和潜在的安全漏洞
业务逻辑漏洞
weixin_51559599的博客
11-27 1256
由于开发者的逻辑不严谨造成的程序功能异常扫描器出业务逻辑漏洞
安全测试之整数溢出的一个实例
小太阳~
02-16 2543
假设在我们的web应用中有这样一段代码:String quantity= request.getParameter("quantity"); //参数quantity指代商品的数量 int qua = Integer.parseInt(quantity); if(qua>0){ int totalMoney = qua*100; //计算总金额 }某个人啊,可能是因为打错数字了,可能是因
业务安全漏洞挖掘归纳总结[转自乌云]
weixin_30677617的博客
07-04 616
业务安全存在的一些常见问题,总结得很好,来自乌云知识库,原文链接:http://drops.wooyun.org/web/6917 0x00 索引说明 6.30在OWASP的分享,关于业务安全漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行...
业务逻辑漏洞总结
qq_48904485的博客
03-22 7771
一、漏洞简介 业务逻辑漏洞产生的最核心原因,就是在编写程序时,只考虑了常规的操作流程,即“当在A情况下,就会出现B,此时执行C即可”,但是开发者却没有考虑当用户执行了意料之外的X时会发生什么。这种对于异常情况的欠考虑,最终导致了安全漏洞的产生。 应用中的缺陷通常分为两种类型: 在不同的应用中有相同的特征 与应用程序/业务领域严格相关 其中第一种类型的缺陷,就是类似SQL注入、XSS之类的常规漏洞。这一类漏洞的产生,主要是因为应用程序依赖用户的输入来执行某些重要的功能,但是在用户输入了一些非法字符时,应用
逻辑漏洞技巧拓展】————1、逻辑至上之各种酷炫姿势
Fly_鹏程万里
01-30 1952
与传统类型漏洞相比,逻辑漏洞具有不易发现、不易防护的特点,不像SQL注入、XSS有像WAF那样现成的防护手段;而且,每个企业的业务逻辑参差不齐,也形成了千奇百怪的逻辑漏洞。 前言 与传统类型漏洞相比,逻辑漏洞具有不易发现、不易防护的特点,不像SQL注入、XSS有像WAF那样现成的防护手段;而且,每个企业的业务逻辑参差不齐,也形成了千奇百怪的逻辑漏洞。下面就和大家分享一下我都是从哪些维度去发现逻...
如何高效挖掘APP业务逻辑漏洞
07-13
<think>嗯,用户问的是如何高效挖掘移动应用的业务逻辑漏洞。这个问题很专业,看来用户应该是有一定安全测试基础的工程师或研究员。 从之前的对话看,用户对渗透测试流程已经比较熟悉了,现在聚焦在业务逻辑这个具体领域。业务逻辑漏洞确实很关键,OWASP统计这类漏洞在移动应用中的占比高达24%[^3],而且往往直接关系到核心业务安全。 用户引用的资料很有意思,特别是提到LLM与Fuzzing结合的新方向[^3]。不过当前实际测试中,传统方法还是主流。需要重点考虑几个维度: 首先是测试策略。业务逻辑漏洞不像SQL注入有固定模式,必须深入理解业务流程。比如金融APP的转账和电商的优惠券逻辑就完全不同。建议用户从业务流程图入手,标记出所有决策点和状态转换节点,这些往往是漏洞高发区。 工具链方面,动态测试工具组合很关键。Burp Suite的Intruder模块对批量测试授权漏洞特别有效,配合Logger++插件可以自动捕获异常响应。对于需要模拟复杂交互的场景,Postman的Collection Runner能实现多步骤自动化测试。 数据构造有讲究。测试数据要覆盖边界值,比如0元支付、超长字符串、负数库存等。最近遇到个案例,某APP没校验负数金额,导致充值-100元实际增加账户余额[^1]。 运行时监控容易被忽视。用Frida Hook关键验证函数,比如isAdmin(),可以实时看到权限校验是否被绕过。Objection的android hooking watch命令在这方面特别高效。 新技术的应用确实值得关注。虽然LLM+Fuzzing还在实验阶段,但GitHub上已经有些开源项目在做尝试,比如用GPT生成异常测试用例。不过当前效果还不稳定,传统方法更可靠。 最后强调下报告环节。业务逻辑漏洞复现步骤一定要详细记录操作序列,因为这类漏洞往往涉及多步骤交互。建议用户使用ScreenRecorder同步录屏,比文字描述直观得多。 用户可能还需要具体案例参考,补充了一个平行越权的实战示例,展示如何用Burp快速测试。这个案例很典型,多数APP的订单查询接口都可能存在类似问题。</think>高效挖掘移动应用业务逻辑漏洞需结合**深度业务理解**与**精准测试技术**,核心方法如下: --- ### 一、业务逻辑漏洞挖掘框架 ```mermaid graph TD A[业务流程图解构] --> B[关键节点标记] B --> C[异常输入构造] C --> D[权限边界测试] D --> E[状态机篡改验证] ``` 1. **业务流建模** - 绘制完整业务流程图(如:用户注册→登录→支付→订单修改) - **重点标记**: - 身份验证节点(如OTP验证) - 状态转换点(如待支付→已支付) - 数据依赖环节(如优惠券关联订单金额)[^1] 2. **漏洞模式库匹配** | 漏洞类型 | 测试手法 | 工具支持 | |-------------------|-----------------------------------|-----------------------| | **越权访问** | 修改`user_id`/`session_token` | Burp Intruder, Postman| | **业务流程绕过** | 跳过验证步骤(如直接访问支付完成页)| Frida Hook关键函数 | | **资源竞争** | 并发请求(如重复领取优惠券) | JMeter, Locust | | **参数篡改** | 修改金额/数量为负值或超大数 | Burp Repeater | --- ### 二、动态测试关键技术 #### 1. **流量拦截与篡改** - **HTTPS抓包**: ```bash # Android证书导入 adb push burp-cert.der /sdcard ``` - **关键篡改点**: - 支付金额:`{"amount": -100}` → 服务端未校验负数 - 订单状态:`{"status": "completed"}` → 绕过支付流程[^1] #### 2. **运行时代码注入** - **Frida脚本示例**(绕过权限检查): ```javascript Java.perform(() => { const checkAuth = Java.use("com.app.AuthUtil"); checkAuth.isAdmin.implementation = () => { return true; } // 强制返回true }); ``` - **应用场景**:垂直越权(普通用户→管理员权限) #### 3. **自动化遍历技术** - **工具组合**: - `Appium` + `Selenium`:模拟用户操作路径 - `Burp Turbo Intruder`:批量测试接口参数 - **检测逻辑**:对比响应差异(如不同用户访问相同资源的响应码) --- ### 三、业务场景深度测试 #### 1. **身份认证体系** - **密码重置漏洞**: - 修改`phone`参数劫持他人账户 - 重放验证码请求(拦截→重放100次) - **会话管理缺陷**: - 退出登录后Session未失效 - 多设备登录会话冲突 #### 2. **交易业务链** ```mermaid sequenceDiagram 用户->>APP: 创建订单(金额100元) APP->>服务器: 生成未支付订单 用户->>APP: 支付请求(篡改金额=0.01元) 服务器-->>APP: 支付成功 ``` - **漏洞点**:客户端计算最终金额(应服务端校验) #### 3. **营销活动漏洞** - **优惠券逻辑**: - 叠加使用规则绕过(多次领取同批次券) - 无限领取:修改`coupon_id`序列批量请求 - **抽奖机制缺陷**: - 修改中奖概率参数(如`prob=99.9`) - 并发请求消耗奖品池 --- ### 四、高效工具链推荐 | 类别 | 工具 | 应用场景 | |-------------------|----------------------------------------------------------------------|-----------------------------------| | **流量分析** | Burp Suite, Charles, HTTP Toolkit | 参数篡改/重放攻击 | | **运行时Hook** | Frida, Objection | 绕过逻辑校验/修改内存数据 | | **自动化遍历** | Appium + Selenium, MobSF动态分析 | 业务流自动化探测 | | **API测试** | Postman Collections, Swagger Fuzzer | 接口未授权/批量测试 | | **状态监控** | Logcat (Android), oslog (iOS) | 敏感操作日志泄露检测 | --- ### 五、漏洞挖掘实战案例 **漏洞**:平行越权查看他人订单 **复现步骤**: 1. 用户A登录后查看订单:`GET /api/order?id=123` 2. 抓包修改`id=456`(他人订单) 3. 响应200并返回订单详情 **根因**:服务端未校验订单所属用户[^1] **修复方案**: ```python # 伪代码:添加归属校验 def get_order(order_id): current_user = get_current_user() order = Order.query.get(order_id) if order.user_id != current_user.id: # 关键校验 raise PermissionDenied() ``` --- ### 未来趋势:LLM辅助挖掘 1. **智能用例生成**: - 输入业务描述,LLM自动输出测试场景(如:"测试优惠券叠加规则" → 生成多券组合用例) 2. **异常模式识别**: - 分析日志/流量,LLM标记非常规操作序列(如短时间内连续密码重置)[^3] --- ### 相关问题 1. 如何用Frida动态修改APP的加密算法参数? 2. 业务逻辑漏洞自动化扫描的局限性是什么? 3. 如何测试APP的并发资源竞争漏洞? 4. 越权访问漏洞在Android和iOS平台的表现差异? 5. LLM如何提升模糊测试(Fuzzing)的精准度?[^3] > 数据参考:业务逻辑漏洞中,越权访问占比达34%,业务流程绕过占28%,参数篡改占19%[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值