许多框架(例如Spring MCV)都支持对象自动绑定,这允许HTTP请求参数自动绑定到对象。但是,攻击者可以添加其他HTTP请求参数,如果开发人员在处理业务逻辑时缺少安全检查,则会导致相应的安全问题。前段时间我看到一篇文章介绍了对象自动绑定漏洞和Spring MVC,可以进行比较。自动绑定漏洞和Spring MVC:http://agrrrdog.blogspot.ru/2017/03/autobinding-vulns-and-spring-mvc.html 注意:本文作者mmc,p2p平台已获得授权测试。 ##一:首先看一个真实案例 这是国内p2p平台帐户余额功能
在账户余额的第一页,我们注册了账户,发现余额为0元。我们需要充值才能进行投资,然后提取现金。 可以在充值页面上同步天平。经过分析,发现该功能是将平台上的钱与银行账户中的钱同步。这个p2p平台使用江西银行来节省客户资金,因此最终同步的结果是江西银行账户的资金与平台的资金相同。经过长期分析,我发现这个地方没有漏洞,各种加密验证都很合理。使用的接口全部由银行提供。然后继续往下看。 我们找到了用户地址的设置功能。一般情况下,这个地方应该有存储安全XSS,sql注入,普通越权等传统安全漏洞。但是我们没有在这个平台上找到它。我把这个数据包发送到了突发的重复功能,以便我以后可以测试它。在对网络安全进行长期研究之后,这种形式输入形式中最常见的问题是仍然存在数据污染,但这个问题在中国似乎没有得到足够的重视或者看不到更少的案例。 这是从突发响应返回的数据包。通过对这个数据包的分析,我们发现了一个有趣的事情,我不知道你是否注意到它。我们可以很容易地看到请求的数据包和返回的数据包参数不一致。换句话说,返回的数据包具有比所请求的数据包多几个字段,包括电子邮件字段和jdbalance字段。经验可以预测,在这种情况下大多数情况是数据污染,这个地方应该称为参数污染。具体的测试操作是在请求的数据包中添加额外的字段并观察。 上面是请求的数据包,用burp返回数据包的方式看到返回的数据包 我们看到返回的数量变为100.00。这一次并不意味着我们真正达到了数据污染的目的。我们必须去我们的余额账户查看它。 点击刷新后,我们发现余额和总资产已经变为100.后来我们重复上一步操作,将平台账户中的资金同步到银行,然后通过平台成功撤回100。 ##二:关于此漏洞的危害以及使用它的更多方法 1)此漏洞发生在您输入的所有常见位置 2)任何用户修改,任意数量修改等的敏感位置 3)缓存修改等 原作者:0c0c0f 黑客业务列表介绍和一般分类: 类别:攻击入侵破解开发 1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量] 2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。 3:破解业务类:软件,加密文件,二次打包,脱壳等。 4:二次开发业务清单:软件二次开发,源代码二次开发等 5:其他业务订单:特洛伊木马[通过所有防病毒],远程控制,特殊软件等 备注:未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间,请在咨询前阅读:业务交易流程及相关说明 注意:仅接受正式业务,个人无权接受。收集此内容。