互联网时代黑客如何威胁你的资产？Web业务安全测试( 三 ) _黑客

文章插图

篡改用户名、密码从正常的修改密码流程中使用Burp suite拦截发送用户名和手机号请求信息，修改手机号，并再次发送，然后观察它的表现。
用手机、短信或者邮件找回密码的方式都是类似的。在数据库中存有已注册用户的用户名、密码、邮箱、电话等信息，而且密码是通过SHA256进行加密的，是一个长字符串。当用户使用短信验证输入用户名与手机号时，若与数据库中信息一致，则会通过手机发回验证码，重设密码；若是在传输过程中，手机号码被截取，收到验证码后会在输入新密码时提示信息被截取，验证码错误。
再打开代理，Burp suite启用拦截，在网页中再次点击获取验证码，包就已被Burp suite拦截。点击“行动”选择发送给repeater，在repeater里，改变手机号码，再发送请求，在响应包中并没有显示用户名与密码，而是显示“注册的用户名和手机不匹配”请重新输入。这样就已经成功篡改用户名与密码，黑客可将验证码发送至自己手机，在通过这个页面获取密码，输入验证码，而后修改用户名与密码，手机、短信或者邮箱都可通过截取传送的信息进行篡改。

文章插图

横向越权——查看、删除横向越权指的是攻击者尝试访问或修改与他拥有相同权限的用户的资源。以上述电商网站为例：

文章插图

查看：当登录A用户的账号后，我们可以查看该用户的各类信息，建立订单，拷贝订单URL地址，再登录B用户账号，逐一粘贴订单信息URL地址，查看是否有权限查看。
修改与删除：在A用户登录后拷贝修改用户配货信息地址后，建立订单，拷贝删除用户订单信息，再登录B用户账号，试图删除前面拷贝所得的A用户的信息。
CSRF token破解CSRF token
为了防止DDoS攻击，一个用户一天只允许输入用户名密码3次，若是超过3次输入，则存在一个暴力破解的可能性，账号就会被封掉。黑客应对这一情况最常用的方法就是在本地复制地址，将action改为绝对路径，再通过Burp suite进行暴力破解，获取相应内容。
该方法采用的是通过一个token，在地址里加一个hidden字段，设置100个随机长度的字符串，此方法为Djiango的解决方案。

文章插图

当我们往服务器或客户端发送请求时，带有一个middle ware hidden的字段，并其名为CSRF token的这么COOKIE的字段，发送至服务器后，服务器自动检测两个值是否相等，若相等，则返回Web匹配，否则返回403不匹配。

文章插图

在这种情况下，可以人为在form表单中加一个hidden字段，但是在cookie中无法加，因此cookie中没有hidden字段，与100长度的字段不匹配，故而报403错误。
比如在JMeter中，可以通过正则表达式获得参数，将100长度的字符串的token值取代，获取到token里的字段后，通过建立一个cookie manager，往CSRF token中发送该字段，同时往csrfmiddleware里发送COOKIE token的值。这样两个值肯定是一样的，CSRF token被破解。
若使用python中的requests类来写接口测试，则可以将这100个字符串放在一个变量中，设在cookie里通过request post 传输，同时触发body里的username、password和一个hidden字段，此时两个值是相等的，CSRF token就能被破解。