0×00 前言

3月10日-28日,“挖洞联盟”团队赛的角逐如火如荼进行,小编在此精心整理了本次联盟赛中出现的优秀漏洞,希望各位白帽子能有所收获。相信经过了这次安全测试和漏洞修复,厂商的安全性也得到了提高。

0×01 密码找回绕过

中华保险商城任意用户登陆绕过 vulbox-2016-016879

重置密码这个业务场景通常分为多步,良心厂商通常会在最后一步再验证一次短信验证码,如此可能会想到爆破短信验证码。如果再做了爆破限制,是否就完全稳妥了?

中华险商城在密码重置上就出现了类似问题:在密码重置流程中,通过修改响应包,绕过短信验证页面

进入最后一步,输入新密码:

输入新密码后点下一步,抓取请求包

可以看到请求包中仍然会传输短信验证码,所以服务端验证最终是失败的。骗不到服务器,但不要放弃骗浏览器,我们仍然修改状态码为true,果然浏览器被骗了

通常在密码重置成功后会自动登录,所以可以尝试刷新下页面

最终,我们骗了浏览器,浏览器又骗了服务器。

0×02 条件绕过

绕过招行掌上生活app限制,换取大量商品 vulbox-2016-017284

薅羊毛是现在十分普遍的问题,如首次注册赠送代金券甚至免单,或者优惠活动只能秒杀,并且每个用户只有一次机会。大多羊毛党的惯用伎俩是使用大量手机号来获取优惠,然而还有更简单的办法,利用厂商的一些漏洞实现。

在某银行app中,可用超低积分秒杀商品,并且每个人只有一次机会。

此时我们点击立即抢购

然后抓包,再开大线程,并发重放

可获取一批有效优惠券但是此处白帽子并没有使用任何工具辅助,也没抓包重放,仅仅是利用麒麟臂点“立即抢购”然后“返回”,重复这个操作,即获取这么多优惠券,可见此类薅羊毛成本极低,仅需一只麒麟臂。

0×03 登录绕过

阳光保险APP登陆绕过,泄漏用户信息 vulbox-2016-017702

登录处可能会存在很多问题,如果出现注入则会导致万能登陆在某保险APP中,登录处填写任意手机号