渗透

渗透

常见漏洞测试流程/案例之账号注册、密码找回

渗透测试Mosuan 发表了文章 • 8 个评论 • 930 次浏览 • 2017-01-03 12:03 • 来自相关话题

1.账号注册/密码找回
     1.1 账号注册
          1.1.1 唯一身份标识(非自增ID,如手机号,用户名等)重复注册;
               漏洞编号:WooYun-2012-13986  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2012-013986.html
               唯一身份标识可以重复注册,会导致劫持前人的ID;如一个网站是以username作为唯一身份标识,当可以注册一个重复的username时候,进入个人空间会导致查询出错等问题。
          1.1.2 没严格验证身份信息
               漏洞编号:WooYun-2014-87354  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2014-087354.html
               这种情况分为两种,第一种完全没有任意判断(不需要验证码和激活链接的);第二种是需要激活账号的;第一种大家都知道,下面说说第二种,a用户用自己邮箱注册一个账号,然后拿到激活链接,然后在用别人的邮箱注册一次,然后再访问激活链接,这样情况严格来说是属于逻辑缺陷,但是账号注册这块挺重要的,就写在这里了。
          1.1.3 垃圾账号注册;
               漏洞编号:WooYun-2013-34225  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2013-034225.html
               在不判断用户身份信息以及没有验证码等限制的时候会导致垃圾账号批量注册,如以上漏洞,没有验证码,写个脚本跑一下就可以注册很多用户,可以用于恶意推销。
               
     1.2 密码找回
          1.2.1 验证身份信息的验证码存储在客户端;
               漏洞编号:WooYun-2016-169802  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0169802.html
               手机邮箱找回验证码时,验证码返回到客户端的时候,可导致任意用户密码重置;如a用户在b.com找回一个不属于他的账号,手机号找回密码会发送验证码到那个手机号上,如果验证码也返回到客户端的话,a用户可以直接用该验证码重置那个账号的密码。
          1.2.2 验证码爆破;
               漏洞编号:WooYun-2016-202426  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0202426.html
               现在网站都是基于验证码来判断用户身份的,这种方式是正确的,但是实现的过程可能会导致很多严重的安全问题,如验证码的有效期、验证码错误多少次会导致验证码过期,下面说的这种情况就是没有做任何处理的,比如手机密码找回,返回4位数的验证码且无任何限制,这种情况如上面漏洞案例所说的一样,可以爆破出验证码。
          1.2.3 本地验证;
               漏洞编号:WooYun-2016-207115  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0207115.html
               很多密码找回都是依靠返回的request的json的某个字段值来判断是否可以重置密码,然后再进行重置密码,这种情况就是本地验证,也就是说我们重置密码的过程,把返回包修改一下就可以重置密码了。这种情况出现过很多,都是没有经过二次判断的。 
感谢乌云的案例。 查看全部
未标题-1.jpg



1.账号注册/密码找回
     1.1 账号注册
          1.1.1 唯一身份标识(非自增ID,如手机号,用户名等)重复注册;
               漏洞编号:WooYun-2012-13986  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2012-013986.html
               唯一身份标识可以重复注册,会导致劫持前人的ID;如一个网站是以username作为唯一身份标识,当可以注册一个重复的username时候,进入个人空间会导致查询出错等问题。
          1.1.2 没严格验证身份信息
               漏洞编号:WooYun-2014-87354  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2014-087354.html
               这种情况分为两种,第一种完全没有任意判断(不需要验证码和激活链接的);第二种是需要激活账号的;第一种大家都知道,下面说说第二种,a用户用自己邮箱注册一个账号,然后拿到激活链接,然后在用别人的邮箱注册一次,然后再访问激活链接,这样情况严格来说是属于逻辑缺陷,但是账号注册这块挺重要的,就写在这里了。
          1.1.3 垃圾账号注册;
               漏洞编号:WooYun-2013-34225  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2013-034225.html
               在不判断用户身份信息以及没有验证码等限制的时候会导致垃圾账号批量注册,如以上漏洞,没有验证码,写个脚本跑一下就可以注册很多用户,可以用于恶意推销。
               
     1.2 密码找回
          1.2.1 验证身份信息的验证码存储在客户端;
               漏洞编号:WooYun-2016-169802  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0169802.html
               手机邮箱找回验证码时,验证码返回到客户端的时候,可导致任意用户密码重置;如a用户在b.com找回一个不属于他的账号,手机号找回密码会发送验证码到那个手机号上,如果验证码也返回到客户端的话,a用户可以直接用该验证码重置那个账号的密码。
          1.2.2 验证码爆破;
               漏洞编号:WooYun-2016-202426  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0202426.html
               现在网站都是基于验证码来判断用户身份的,这种方式是正确的,但是实现的过程可能会导致很多严重的安全问题,如验证码的有效期、验证码错误多少次会导致验证码过期,下面说的这种情况就是没有做任何处理的,比如手机密码找回,返回4位数的验证码且无任何限制,这种情况如上面漏洞案例所说的一样,可以爆破出验证码。
          1.2.3 本地验证;
               漏洞编号:WooYun-2016-207115  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0207115.html
               很多密码找回都是依靠返回的request的json的某个字段值来判断是否可以重置密码,然后再进行重置密码,这种情况就是本地验证,也就是说我们重置密码的过程,把返回包修改一下就可以重置密码了。这种情况出现过很多,都是没有经过二次判断的。 
感谢乌云的案例。

常见漏洞测试流程/案例之账号注册、密码找回

渗透测试Mosuan 发表了文章 • 8 个评论 • 930 次浏览 • 2017-01-03 12:03 • 来自相关话题

1.账号注册/密码找回
     1.1 账号注册
          1.1.1 唯一身份标识(非自增ID,如手机号,用户名等)重复注册;
               漏洞编号:WooYun-2012-13986  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2012-013986.html
               唯一身份标识可以重复注册,会导致劫持前人的ID;如一个网站是以username作为唯一身份标识,当可以注册一个重复的username时候,进入个人空间会导致查询出错等问题。
          1.1.2 没严格验证身份信息
               漏洞编号:WooYun-2014-87354  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2014-087354.html
               这种情况分为两种,第一种完全没有任意判断(不需要验证码和激活链接的);第二种是需要激活账号的;第一种大家都知道,下面说说第二种,a用户用自己邮箱注册一个账号,然后拿到激活链接,然后在用别人的邮箱注册一次,然后再访问激活链接,这样情况严格来说是属于逻辑缺陷,但是账号注册这块挺重要的,就写在这里了。
          1.1.3 垃圾账号注册;
               漏洞编号:WooYun-2013-34225  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2013-034225.html
               在不判断用户身份信息以及没有验证码等限制的时候会导致垃圾账号批量注册,如以上漏洞,没有验证码,写个脚本跑一下就可以注册很多用户,可以用于恶意推销。
               
     1.2 密码找回
          1.2.1 验证身份信息的验证码存储在客户端;
               漏洞编号:WooYun-2016-169802  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0169802.html
               手机邮箱找回验证码时,验证码返回到客户端的时候,可导致任意用户密码重置;如a用户在b.com找回一个不属于他的账号,手机号找回密码会发送验证码到那个手机号上,如果验证码也返回到客户端的话,a用户可以直接用该验证码重置那个账号的密码。
          1.2.2 验证码爆破;
               漏洞编号:WooYun-2016-202426  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0202426.html
               现在网站都是基于验证码来判断用户身份的,这种方式是正确的,但是实现的过程可能会导致很多严重的安全问题,如验证码的有效期、验证码错误多少次会导致验证码过期,下面说的这种情况就是没有做任何处理的,比如手机密码找回,返回4位数的验证码且无任何限制,这种情况如上面漏洞案例所说的一样,可以爆破出验证码。
          1.2.3 本地验证;
               漏洞编号:WooYun-2016-207115  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0207115.html
               很多密码找回都是依靠返回的request的json的某个字段值来判断是否可以重置密码,然后再进行重置密码,这种情况就是本地验证,也就是说我们重置密码的过程,把返回包修改一下就可以重置密码了。这种情况出现过很多,都是没有经过二次判断的。 
感谢乌云的案例。 查看全部
未标题-1.jpg



1.账号注册/密码找回
     1.1 账号注册
          1.1.1 唯一身份标识(非自增ID,如手机号,用户名等)重复注册;
               漏洞编号:WooYun-2012-13986  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2012-013986.html
               唯一身份标识可以重复注册,会导致劫持前人的ID;如一个网站是以username作为唯一身份标识,当可以注册一个重复的username时候,进入个人空间会导致查询出错等问题。
          1.1.2 没严格验证身份信息
               漏洞编号:WooYun-2014-87354  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2014-087354.html
               这种情况分为两种,第一种完全没有任意判断(不需要验证码和激活链接的);第二种是需要激活账号的;第一种大家都知道,下面说说第二种,a用户用自己邮箱注册一个账号,然后拿到激活链接,然后在用别人的邮箱注册一次,然后再访问激活链接,这样情况严格来说是属于逻辑缺陷,但是账号注册这块挺重要的,就写在这里了。
          1.1.3 垃圾账号注册;
               漏洞编号:WooYun-2013-34225  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2013-034225.html
               在不判断用户身份信息以及没有验证码等限制的时候会导致垃圾账号批量注册,如以上漏洞,没有验证码,写个脚本跑一下就可以注册很多用户,可以用于恶意推销。
               
     1.2 密码找回
          1.2.1 验证身份信息的验证码存储在客户端;
               漏洞编号:WooYun-2016-169802  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0169802.html
               手机邮箱找回验证码时,验证码返回到客户端的时候,可导致任意用户密码重置;如a用户在b.com找回一个不属于他的账号,手机号找回密码会发送验证码到那个手机号上,如果验证码也返回到客户端的话,a用户可以直接用该验证码重置那个账号的密码。
          1.2.2 验证码爆破;
               漏洞编号:WooYun-2016-202426  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0202426.html
               现在网站都是基于验证码来判断用户身份的,这种方式是正确的,但是实现的过程可能会导致很多严重的安全问题,如验证码的有效期、验证码错误多少次会导致验证码过期,下面说的这种情况就是没有做任何处理的,比如手机密码找回,返回4位数的验证码且无任何限制,这种情况如上面漏洞案例所说的一样,可以爆破出验证码。
          1.2.3 本地验证;
               漏洞编号:WooYun-2016-207115  url:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0207115.html
               很多密码找回都是依靠返回的request的json的某个字段值来判断是否可以重置密码,然后再进行重置密码,这种情况就是本地验证,也就是说我们重置密码的过程,把返回包修改一下就可以重置密码了。这种情况出现过很多,都是没有经过二次判断的。 
感谢乌云的案例。