業務邏輯漏洞探索之敏感資訊洩露

2021-09-02 23:25:37 字數 2261 閱讀 5577

業務邏輯漏洞探索之敏感資訊洩露

近期,萬豪酒店被爆近5億客人的資訊或洩露。近年來,使用者隱私洩露事件時有發生,也不得不給我們敲響警鐘。

敏感資訊時業務系統中的保密性要求較高的資料,通常包括系統敏感資訊和引用敏感資訊。系統敏感資訊指的是業務系統本身的基礎環境資訊,比如系統資訊,中介軟體版本之類的,一旦洩露可能可以協助攻擊者提供更多的攻擊途徑和方法;應用敏感資訊指的是應用中儲存的重要業務資料,比如使用者註冊時提供的一些資訊,身份證、姓名、**號碼等,洩露後可能會對應用的使用者帶來危害,比方說這次的萬豪酒店敏感資訊洩露事件。

我們可以分為以下幾種場景進行測試:

1.敏感資訊傳輸

在業務流程中,許多敏感資訊需要從客戶端提交到服務端,如果沒有採取合理的加密措施,在提交到服務端的過程中可能被第三方擷取,從而產生資訊洩露風險。

舉個栗子:

a).某系統修改密碼的時候,發現通過json進行傳輸的過程中,可以看到明文的新舊密碼。

2.敏感資訊顯示

通常情況下應用敏感資訊在客戶端顯示時需要進行脫敏,密碼等部分使用者資訊是不應該在客戶端顯示的,如果程式設計時在這部分沒有進行很好的處理,就會產生敏感資訊洩露漏洞。

舉個栗子:

a). 某系統登入頁面存在缺陷,導致敏感資訊洩露。

b). 檢視源**,可看見登入密碼。

c). 使用admin/gohigh1234可使用管理員許可權登入,可檢視各種資訊。

3.客戶端**注釋

客戶端**注釋有可能洩露系統敏感資訊,對一些核心**進行技術注釋也有可能會幫助攻擊者解讀**,為攻擊者提供便利,通常要求客戶端**不能包含注釋,尤其是不能包含核心**的技術注釋。

舉個栗子:

a). 某系統智慧型門禁管理系統存在邏輯漏洞導致上萬使用者敏感資訊洩露。

b). 檢視源**發現有一段注釋**,發現存在使用者名稱和登入密碼及請求路徑。

c). 登入後發現有大量的客戶敏感資訊,包含身份證、業主卡號等等。

4.錯誤處理測試

不安全的錯誤處理方法可能洩露系統或應用的敏感資訊,手工測試的過程中應留意各類錯誤資訊,如果發現錯誤資訊中包含系統或應用敏感資訊,則進行記錄。

舉個栗子:

某平台sqlserver沒有對錯誤進行正確的處理,將詳細的錯誤資訊展示出來,暴露出資料庫列名。

5.小總結

以上就是斗哥對於敏感資訊洩露的一點小總結,越來越頻發的使用者資訊洩露事件也讓我們不得不反思,如何在大資料時代,保護我們的敏感資訊。以下是斗哥對於敏感資訊洩露防護的建議:

1.應根據業務特點定義出系統儲存的敏感資訊。

2.敏感資訊在儲存、傳輸、顯示時應進行安全處理,可採用的處理方式為加密或脫敏。

3.敏感資訊不應使用get方式提交到伺服器。

4.使用者密碼為最高端別的敏感資訊,在儲存、傳輸、顯示時都必須加密。

5.需要選擇可靠的加密演算法,優先選擇不對稱加密演算法,不得使用base64等編碼方式進行「加密」

6.對於一些系統預設報錯頁面應重新進行設計自定義報錯頁面,以免暴露系統敏感資訊。

業務邏輯漏洞探索之暴力破解

本文中提供的例子均來自網路已公開測試的例子,僅供參考。最近斗哥在整理一些業務邏輯漏洞,突然發現好多問題,所以決心和大家一起 今天先從暴力破解開始。說起暴力破解,它其實就是利用大量猜測和窮舉的方式來嘗試獲取使用者口令的攻擊方式,如果身份驗證模組設計的不好攻擊者可以利用自動化攻擊進行暴力破解,大大增加了...

業務邏輯漏洞

業務邏輯漏洞是一類特殊的安全漏洞,業務邏輯漏洞屬於設計漏洞而非實現漏洞,是業務邏輯設計不嚴謹導致的漏洞。大多數業務邏輯漏洞沒有明顯的攻擊特徵,難以通過漏洞掃瞄的方式發現,也難以通過安全裝置來防護。繞過驗證 主要指身份驗證體系設計存在缺陷,可以使用某些技術手段繞過驗證機制冒用他人身份。越權訪問 主要指...

邏輯漏洞之越權訪問漏洞

目錄 越權漏洞 越權漏洞的挖掘 越權漏洞的修復 越權漏洞是web應用程式中一種常見的安全漏洞。該漏洞是指應用在檢查授權時存在紕漏,使得攻擊者在獲得低許可權使用者賬戶後,利用一些方式繞過許可權檢查 比如說修改資料報的值或者直接訪問其他使用者相應頁面的鏈結 訪問或者操作其他使用者或者更高許可權使用者才能...