【安全漏洞】SRC另类思路分享:不受限制的资源调用
前言
對于SRC的挖掘思路,很多師傅已經給出了挖掘實用技巧。今天帶來一篇本人的思路分享:不受限制的資源調用。
一、進入正題
相信在各位的學習、生活中都遇到過這樣的頁面
此處我以某廠商的云服務購買為例,由圖可知,需要我們輸入姓名、身份證、聯系電話等。如果按照我們普通的挖掘思路,此處可能存在的漏洞是不是有SQL、XSS、越權查看他人提交信息、CSRF等等,其實此處可以利用一種新的思路,我稱之為不受限制的資源調用。
二、漏洞測試
此處我們先輸入自己的真實姓名+身份證號,然后把身份證號的最后一位7,改成5,進行提交,此時可以發現,提示我們需要輸入正確的身份證號碼,同時Burp沒有任何數據包請求,判斷此處是前端做了校驗,校驗用戶輸入的身份證號是否能夠與規則匹配。同時可在JS文件中找到相應規則,此處校驗不通過會返回false阻止我們進行提交。
私信回復“資料”課獲取以下資料包【點擊查看】
1、200多本網絡安全系列電子書
2、全套工具包
3、100份src源碼技術文檔
4、網絡安全基礎入門、Linux、web安全、攻防方面的視頻
5、 網絡安全學習路線
6、ctf奪旗賽解析
console有如下結果:
所以此時,我們需要把身份證號改成一個正確的身份證號,把姓名也改成正確的姓名,同時進行提交,此時可見,在我們的Burp中出現了我們想要的數據包,包含了我們的姓名、身份證號、聯系電話等等。此時我們再將數據包中的6改成5,也就是把真實身份證號又改回去一個不存在的身份證號,然后抓取返回包,可見,此時后端又做了一個驗證,告知我們:身份證驗證錯誤。
錯誤圖:
三、原理剖析
此時先不著急往下進行測試,我們先來了解一下身份證驗證的原理:
這里我做了一張流程圖,假如我此時是一名開發者,我需要給我的APP加上實名驗證功能,那么我可以直接去向最上層的那個機構申請接口嗎?不能,因為我不是企業,而且我也不是屬于它直系應用的開發者。我只能向他的下級,也就是騰訊、阿里、百度這樣的企業去申請API接口,同時這些公司會把我們提交的數據,提交給最上層的那個機構,并且根據返回的數據,給我們返回的數據。也就是身份證號驗證成功,或者二要素驗證不一致。
我們再來說一下直系應用與企業的區別,直系應用去申請二要素驗證,一般是不用花錢的。而我們作為個人開發者,或者企業,去調用那個接口,其實是要錢的。我們在網上隨便找一些關鍵字,可以看到,價格其實還是蠻高的。
四、深入理解
那么此時是不是可以利用樓上所示的接口?去做一些事情呢,我這里假設要對別人進行社工,那么他的姓名是XXX,身份證號的后四位或者后六位我不知道,就可以對他進行一個爆破。此時我們勾選上最后四位,然后把數值調整到0000-9999之間,此時根據返回包的長度大小、可判斷身份證號碼是否正確。
此處可見,我們利用某平臺開放的實名認證接口,可以完成我們自己想做的身份證二要素驗證,同時由于廠商沒有做限制,便可以無限消耗此廠商的資源,從而達到我們的目的。像本文中的二要素驗證,以及短信驗證,還有活人檢測,其實都是基于Money的,在我們的SRC挖掘過程中,也可以去嘗試一下這些點。
教程文章僅限用于學習和研究目的,請勿用于非法用途。漏洞挖掘中應遵守SRC中的相關規則。
總結
以上是生活随笔為你收集整理的【安全漏洞】SRC另类思路分享:不受限制的资源调用的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 如何使用pFuzz以多种方法验证Web应
- 下一篇: 【安全漏洞】CVE-2021-42287