对某网站平台的一次黑盒渗透测试记录

盆友某新闻资讯服务平台要发布,简易的对他账户验证这一块干了一下网站安全测试。

Frepeater曝露出去的多个难题

先找到Login登陆口,验证码短信的恳求抓包软件,随后放进repeater里边瘋狂的gogogogo

随后就察觉被骚扰短信的一脸懵逼

tips:骚扰短信基本原理有专业的出示短信api的服务提供商,而企业网站买来服务提供商的业务流程。

但在企业网站的后端开发逻辑性上存在的问题,如未对恳求頻率开展限定等。就造成了定项空袭。即是人们常说的短信轰炸机。

上边常说的是定项客户的短消息高频的发送短信,导致的骚扰短信。

然而有的网站后台管理开展限定,严禁向一个客户推送一天超出5条的总数限定。但网络攻击则能够 开展水准方位的手机号码遍历。

企业网站全是买的短信业务。1000条短消息是多少要多少钱;而该难题立即造成了很多的短消息資源奢侈浪费)。

抓一下接受验证码短信的恳求,放到repeater里边播放一下,我手机上就接到了遮天盖地的短信验证码

就一个repeater就发觉了数个难题:

企业网站上的短信验证码未升级,能够 被网络攻击爆力猜解。

验证码短信为四位数并且是30分鐘,为爆力猜解得出了想当长的時间。

沒有限定推送验证码短信的频次和頻率,可故意耗费公司資源。

3F简易的随意帐户重置密码

人们随意键入一个四位数短信验证码,立即注册后抓来到request恳求丢入intruder提前准备爆力。Payload人们这儿挑选Bruteforcer设定为四个纯大数字,但是是1000个大数字,并且是30分鐘无效。而且为了避免开启waf,能够 把进程降低一些。Intruder历经一段时间的便捷后,人们发觉了有一个数据文件显著跟其他长短是不一样的。大伙儿在应用intruder作用时能够 关心length,数据文件我们都是不太可能一个个去翻着看的。

而挑选出数据文件特点,则有利于人们便捷的查询系统漏洞信息内容

4F水准滥用权力造成全服务平台2万客户存有风险性

历经刚刚的难题,人们早已能够 根据手机上扫号开展窃取随意帐户了。

假如手机号码存有,人们就能够 点一下接收验证码后,爆力的去破译认证嘛。

但怎样才能窃取全服务平台帐户,只根据手机上扫号则是个繁杂的难题了。

人们把刚刚的网站地址连接取下来,则是那样的

可是url挺有趣,忽然觉得事儿仿佛沒有那么简单……这一主要参数疑是为客户的ID,比如每一帐户都是有一个ID。我又建立了一个账户开展复检,取得自身的niuerid。最终,一个url就能够 根据niuerid改正我新账户的登陆密码。换句话说,人们开启这一网站地址,就能够水准滥用权力全部服务平台帐户。

分享: