當(dāng)點(diǎn)擊商城的個人資料修改處,系統(tǒng)會通過將當(dāng)前用戶的phone_client_uuid提交到服務(wù)器進(jìn)行查詢�����,調(diào)出個人資料的內(nèi)容
但由于系統(tǒng)并未對該功能進(jìn)行訪問控制,導(dǎo)致可通過遍歷uuid的方式查詢平臺中任意用戶的資料�����,通過工具對phone_client_uuid的后5位進(jìn)行爆破嘗試,如下圖:
通過對返回值的length進(jìn)行篩選�����,發(fā)現(xiàn)成功爆破部分phone_client_uuid所對應(yīng)的用戶信息。
代碼防護(hù)
針對平行權(quán)限的訪問控制缺失�����,我們建議使用基于用戶或者會話的間接對象引用進(jìn)行防護(hù)�����,比方說,一個某個選項(xiàng)包含6個授權(quán)給當(dāng)前用戶的資源�����,它可以使用一串特殊的數(shù)字或者字符串來指示哪個是用戶選擇的值,而不是使用資源的數(shù)據(jù)庫關(guān)鍵字來表示�����,數(shù)字和字符串的生成可以結(jié)合賬號信息進(jìn)行生成,使得攻擊者難以猜測生成的方式�����。
針對垂直權(quán)限的訪問控制缺失�����,我們建議可以使用缺省拒絕所有的訪問機(jī)制�����,然后對于每個功能的訪問,可以明確授予特定角色的訪問權(quán)限�����,同時用戶在使用該功能時,系統(tǒng)應(yīng)該對該用戶的權(quán)限與訪問控制機(jī)制進(jìn)行校對�����。
2.3任意重置用戶密碼
漏洞描述
在眾多的交易平臺中,NSTRT發(fā)現(xiàn)任意重置用戶密碼這類型的問題也較為普遍�����,主要是出現(xiàn)在密碼找回�����、郵箱驗(yàn)證等方面�����,部分漏洞從技術(shù)原理來說上來說它與越權(quán)操作時相似的,即用戶越權(quán)去修改其他用戶的信息�����,如密保電話、密保郵箱等�����,由于它敏感性所以我們將它歸納成一類進(jìn)行探討。
案例
繞過短信驗(yàn)證碼
基本所有的金融交易平臺都有短信找回密碼的功能�����,但部分短信驗(yàn)證的功能較為不完善導(dǎo)致可被利用重置任意用戶的賬號,同樣是某金融平臺的實(shí)際案例:
在已知對方用戶名和手機(jī)號碼的情況下�����,通過站點(diǎn)的密碼找回功能可繞過短信驗(yàn)證碼直接重置該賬號密碼�����。下圖為密碼重置頁面:
小編推薦閱讀
