SINE安全本月带给大家的是绕过认证漏洞。为了更好地确保业务管理系统的安全防护,基本上每一系统软件都是会存有各式各样的认证功能。普遍的几类认证功能就包含账户密码认证、验证码短信认证、JavaScript数据信息内容认证及服务器端数据信息内容认证这些,但码农在涉及到认证方法时很有可能存有缺点造成被绕过,因此SINE安全小结了下列几类绕过认证的姿态和大伙儿一块儿探讨探讨~
pc客户端检验绕过
pc客户端检验是普遍的一类检验方法,也就是说在pc客户端检验客户的键入,将检验效果做为基本参数发送至服务器端,或运用web前端语言限定客户的不法键入和应用。应对该类的检验方法能够根据变更web前端语言或是在传输数据中对基本参数完成篡改来绕过认证。
举例说明:
a).某系统软件须要选购才可以视频观看,不一样的课程内容以id地址区划。
b).发觉是不是付钱只靠web前端原生js调节,变更courseID就能够看见不一样的课程内容,recordURL就是说视频在线观看的超链接,不需要登陆就可以播出。
c).依据在线播放电影中的videoCode,可得到视频在线观看详细地址:
得到urls为视频在线观看详细地址。
d).根据代码,可将站长网站视频在线观看下来。
pc客户端认证个人信息泄露
码农在撰写认证程序代码时会很有可能会将认证信息内容立即泄漏到pc客户端,攻击者就能够根据深入分析服务器端的返回数据信息立即得到核心的认证信息内容进而进行认证。
举例说明:
某完全免费wifi接入时须要应用发送至手机的密码完成认证,爬取发送登陆密码的数据文件时,发觉登陆密码返回pc客户端,造成随意各大网站账户能够登陆连接网络。
pc客户端流程调节绕过
码农在撰写认证程序代码时会很有可能会认证效果返回到pc客户端,由pc客户端依据服务器端提供的认证效果完成下一阶段应用,攻击者能够根据篡改认证效果或立即实行下一阶段应用完成绕过。
举例说明:
a).某系统软件密码重置须要3个流程,第一步要键入图形验证码。
b).随后须要根据验证码短信认证真实身份。
d).可顺利更改密码登陆密码。
应用目标篡改绕过
假如某应用选用了连续性真实身份检验措施或真实身份检验流程与操作流程分开,能够尝试在身份认证流程中更换真实身份检验目标或应用目标完成绕过认证。
举例说明:
a).变更某系统软件的绑定手机号。
b).挑选完全免费接到电话验证码变更。
c).将变更的手机号改成自个的手机号。
d).根据变更的手机号接到的检验码变更手机号。
e).发觉能够顺利变更成全新的手机号。
基本参数篡改
码农小帅哥在撰写认证程序代码时会很有可能会对验证码短信字段名完成准确性检验,但当验证码短信字段名不会有或者是为空时就立即根据检验。如果您的网站也存在逻辑漏洞,不知该如何进行检测以及修复,可以找专业的网站安全公司来进行处理,国内SINE安全,绿盟,鹰盾安全,深信服,启明星辰都是比较不错的。
还没有评论,来说两句吧...