日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
從團購網(wǎng)的漏洞看網(wǎng)站安全性問題

現(xiàn)在的網(wǎng)站安全問題非常突出,當然,現(xiàn)在非?;鸨膱F購網(wǎng)也不例外。自從9月份在同事推薦下在某團購網(wǎng)買了一份火鍋的套餐后,就迷上了,幾乎每天必去瀏覽一遍,看看有什么又便宜又好吃的。元旦期間當然也不例外,1號那天上午,看到了XXX團購網(wǎng)的“VIP會員0元領紅包”活動,0元?我最喜歡了,雖然參與過很多次0元抽獎的活動,一次也沒中,但是人總是有一種信念相信自己的運氣的。于是果斷進去注冊,點擊購買,進入了購物車再點擊確認訂單,但是“本活動只限VIP會員參與”?我第一反應是去看頁面源代碼(由于該活動已經(jīng)結(jié)束,進不去購買頁面了,所以在這里我只好用偽代碼來表示):

 
 
 
 
      
  
  
  
  1. //確認訂單按鈕的點擊事件  
    2.   
  
  
  
  2. function btn_click(){  
    3.   
  
  
  
  3.   ajax獲取當前用戶的類型  
    4.   
  
  
  
  4.   如果不是VIP,alert("本活動僅限VIP會員參與");  
    5.   
  
  
  
  5.   否則 form1.submit();  
    6.   
  
  
  
    7.

然后我在地址欄敲入:javascript:form1.submit(); 回車! 進入付款頁面了,再點擊確定,購買成功!我獲得了5元紅包!

我又新注冊一個賬號,重復上面的步驟,也成功獲得了5元紅包。馬上給客服留言說明此BUG。這個漏洞的關鍵點是開發(fā)人員忘記了在form1.submit()的后臺代碼中判斷當前用戶是否VIP會員,只依賴于javascript的驗證。

前臺的驗證完全可以繞過去,后臺的驗證才最重要!有了上午的收獲,1號晚上我就繼續(xù)找別的團購網(wǎng)的漏洞,果然被我找到一個更嚴重的。該團購網(wǎng)也舉行了一個元旦抽獎砸金蛋活動,也是免費參與,購買后發(fā)現(xiàn)得邀請好友參與活動才有砸金蛋的機會,邀請一個好友就多一個機會,如圖:

我一點擊金蛋就alert一句“沒有抽獎機會了快去邀請好友吧!”,恩,又是javascript?看看代碼先:

這便是金蛋的點擊事件,其中有一個用AJAX去訪問的頁面lottery1.php,而要傳過去的chance變量應該就是當前用戶擁有的砸蛋機會。我試著直接訪問lottery1.php?chance=1,返回error字符串,lottery1.php?chance=0也返回error,lottery1.php?chance=-1,也返回error,難道沒效果么?我刷新了一下砸金蛋的頁面,哇?。?/p>

我傳了-1過去導致溢出了?我試著砸了幾個,每次都成功獲得代金卷!接著試著用代金卷去下單,也能成功減免掉幾塊錢,不過一張訂單只能用一個代金卷,(當然測試用的訂單我最后取消掉了。)馬上聯(lián)系客服,居然下班了,QQ不在線,電話打不通,只好留了個言。

42億的金蛋呢,寫了段JS自動砸!截止現(xiàn)在一共有3588個金蛋被砸開,其中至少有2000多個是我砸的,得到了一大堆的代金卷:

#p#

整整185頁。到了2號,我重新查看該團購網(wǎng)的代碼時,發(fā)現(xiàn)了一個更嚴重的問題:

JS中有這么個方法

乍一看是跟錢有關的吧,傳入用戶ID和錢的數(shù)目,試試有什么效果。用戶ID怎么獲得呢?頁面上有:

這個96204就是我當前帳戶的ID了,訪問了一下,返回“線下充值成功”,充值頁面都不加權(quán)限驗證的?查看了一下帳戶余額,果然充值成功了:

有2萬余額了。這個漏洞太致命了,立馬給客服留言。剛留完言,他們的開發(fā)人員給我打電話了,和我討論砸金蛋的漏洞問題,正好將剛發(fā)現(xiàn)的漏洞一起告訴他。開發(fā)人員就是命苦啊,元旦期間,晚上10點多了,他還要改代碼。

改完他說老板可能送點禮品給我,最后他把我的帳戶余額清零了~~~~~~~~

總結(jié)一下:前臺的驗證都是不可靠的,后臺必須要都要驗證一遍;管理頁面一定要加訪問權(quán)限;傳遞到后臺的數(shù)據(jù)一定要進行合法性驗證;不必要傳遞的參數(shù)就不傳,比如那個砸蛋,我就想不明白為什么要把當前用戶擁有的砸蛋機會傳遞到后臺,直接從數(shù)據(jù)庫中讀取不行么?用戶ID不要以明文出現(xiàn)。另外還要防范XSS跨站腳本攻擊(一般用判斷主機頭的方式)

【編輯推薦】

  1. NSS實驗室發(fā)布漏洞測試全新模式:漏洞中心
  2. 新網(wǎng)被黑 域名注冊商網(wǎng)站安全性竟如此脆弱
  3. IE“圣誕”漏洞爆發(fā) 在線游戲網(wǎng)站成木馬重災區(qū)
  4. 企業(yè)門戶網(wǎng)站安全如何“給力”

分享名稱:從團購網(wǎng)的漏洞看網(wǎng)站安全性問題
標題來源:http://m.5511xx.com/article/dpcdchp.html