ネットワーク セキュリティ上級学習レッスン 18 - ビジネス ロジックの脆弱性 (付録: さまざまな業界におけるビジネス ロジックの脆弱性)
開発
2023-09-19 11:13:30
訪問数: null
1. インターネット業界
一般的なビジネスモジュール |
ビジネスロジックの脆弱性 |
ログイン |
ユーザー名とパスワードのブルートフォースクラッキング |
クレデンシャルスタッフィング |
検証コードのブラスティングとバイパス、携帯電話番号の認証情報のスタッフィング、アカウント許可のバイパス |
登録する |
悪意のあるユーザーの一括登録、アカウント登録の悪意のある検証、保存された XSS |
パスワードを回復 |
ユーザー アカウントのパスワードのリセット、ユーザー パスワードの一括リセット、新しいパスワードのハイジャック、SMS 認証コードのハイジャック、ユーザーの電子メールのハイジャックと改ざん |
バックステージマネジメント |
管理者のユーザー名とパスワードのバイパス、ディレクトリ トラバーサル |
会員制度 |
ユーザーの不正アクセス、個人データ情報の漏洩、個人データの盗用 |
送信プロセス |
COOKIEインジェクション、COOKIEクロスサイト、COOKIEハイジャック、平文送信 |
コメント |
POST インジェクション、CSRF、保存された XSS、ユーザー名のトラバース |
2. P2P金融業界
一般的なビジネスモジュール |
ビジネスロジックの脆弱性 |
ログイン |
ユーザー名とパスワードのブルート フォース クラッキング、資格情報のスタッフィング、確認コードのブラスティングとバイパス、携帯電話番号の資格情報のスタッフィング、アカウント許可のバイパス |
登録する |
悪意のあるユーザーの一括登録、アカウント登録の悪意のある検証、保存された XSS |
パスワードを回復 |
ユーザー アカウントのパスワードのリセット、ユーザー パスワードの一括リセット、新しいパスワードのハイジャック、SMS 認証コードのハイジャック、ユーザーの電子メールのハイジャックと改ざん |
購入代金のお支払い |
商品金額の改ざん、商品数量の改ざん、取引情報の漏洩 |
補充する |
チャージ金額の虚偽、チャージ数量の改ざん、チャージ口座の改ざん |
懸賞/イベント |
イベント賞品の獲得、ポイントの盗用、宝くじの不正行為 |
バウチャー/クーポン |
伝票/クーポンの一括スワイプ、伝票金額の変更、クーポン数量の変更 |
注文 |
注文情報漏洩、ユーザー情報漏洩、注文走査、契約走査、キャッシュカード情報走査 |
アカウント |
アカウントバイパス、アカウント残高盗難、アカウントバインド携帯電話番号バイパス |
会員制度 |
ユーザーの不正アクセス、個人データ情報の漏洩、個人データの盗用 |
送信プロセス |
COOKIEインジェクション、COOKIEクロスサイト、COOKIEハイジャック、平文送信 |
コメント |
POST インジェクション、CSRF、保存された XSS、ユーザー名のトラバース |
3.電子商取引業界
一般的なビジネスモジュール |
ビジネスロジックの脆弱性 |
ログイン |
ユーザー名とパスワードのブルート フォース クラッキング、資格情報のスタッフィング、確認コードのブラスティングとバイパス、携帯電話番号の資格情報のスタッフィング、アカウント許可のバイパス |
登録する |
悪意のあるユーザーの一括登録、アカウント登録の悪意のある検証、保存された XSS |
パスワードを回復 |
ユーザー アカウントのパスワードのリセット、ユーザー パスワードの一括リセット、新しいパスワードのハイジャック、SMS 認証コードのハイジャック、ユーザーの電子メールのハイジャックと改ざん |
購入代金のお支払い |
商品金額の改ざん、商品数量の改ざん、取引情報の漏洩 |
懸賞/イベント |
イベント賞品の獲得、ポイントの盗用、宝くじの不正行為 |
バウチャー/クーポン |
伝票/クーポンの一括スワイプ、伝票金額の変更、クーポン数量の変更 |
注文 |
注文情報漏洩、ユーザー情報漏洩、注文トラバーサル、配送先アドレストラバーサル |
アカウント |
アカウントバイパス、アカウント残高盗難、アカウントバインド携帯電話番号バイパス |
駆け込み購入活動 |
安値で買う、ごまかして注文する、注文を無視する |
貨物 |
送料が回避される |
会員制度 |
ユーザーの不正アクセス、個人データ情報の漏洩、個人データの盗用 |
送信プロセス |
COOKIEインジェクション、COOKIEクロスサイト、COOKIEハイジャック、平文送信 |
コメント |
POST インジェクション、CSRF、保存された XSS、ユーザー名のトラバース |
サードパーティ販売者 |
アカウントの盗難、販売者アカウントの横断、他の販売者ユーザーへの不正アクセス |
4. 官公庁業界
一般的なビジネスモジュール |
ビジネスロジックの脆弱性 |
ログイン |
ユーザー名とパスワードのブルート フォース クラッキング、資格情報のスタッフィング、確認コードのブラスティングとバイパス、携帯電話番号の資格情報のスタッフィング、アカウント許可のバイパス |
登録する |
悪意のあるユーザーの一括登録、アカウント登録の悪意のある検証、保存された XSS |
パスワードを回復 |
ユーザー アカウントのパスワードのリセット、ユーザー パスワードの一括リセット、新しいパスワードのハイジャック、SMS 認証コードのハイジャック、ユーザーの電子メールのハイジャックと改ざん |
バックステージマネジメント |
管理者のユーザー名とパスワードのバイパス、ディレクトリ トラバーサル |
ビジネスに関するお問い合わせ |
管理者への悪質な問い合わせと情報漏洩 |
事務処理 |
管理者の代理、業務プロセス管理の回避、他の管理者の情報改ざん、管理者情報の漏洩 |
送信プロセス |
COOKIEインジェクション、COOKIEクロスサイト、COOKIEハイジャック、平文送信 |
コメント |
POST インジェクション、CSRF、保存された XSS、ユーザー名のトラバース |
要約する
- ビジネスをテストするときは、ビジネスの全体的なプロセスを明確に理解し、マインド マップを使用してさまざまなビジネス間の関係をすばやく整理できます。
- 個人 (他人) 情報、パスワードの変更 (取得)、支払いプロセス、登録プロセス、および携帯電話や電子メールによる認証を必要とするビジネスに重点を置くビジネス。
- 各ビジネス モジュールのパケットをキャプチャし、さまざまなリクエストを分析します。
特殊参数
これらの特別なパラメータがビジネス ステップを決定する可能性が非常に高いことに注意してください。
- パケットのキャプチャと再生のプロセスでは、スキップ (バイパス) できるかどうか、およびスキップ (バイパス) する方法を決定するために複数の実験が必要です
数字+字母
。
- 返回包中数据的分析~关注特殊字符串和特殊参数,还有JS文件(JS中可能会存在信息泄漏)。
- 综上所述,业务流程需同时结合’HTTP/HTTPS"请求分析,重点可以关注那些具有代表性的参数,绕过必要验证,跳过业务步骤。
転載: blog.csdn.net/p36273/article/details/132899939