逻辑漏洞专题讲座

逻辑漏洞王朋涛深信服北京安全团体逻辑漏洞专题讲座第1页逻辑漏洞概述逻辑漏洞攻击流程逻辑漏洞攻击之应用程序解析逻辑漏洞攻击之逻辑漏洞示例逻辑漏洞攻击之挖掘教程商业逻辑漏洞攻击逻辑漏洞攻击防御逻辑漏洞探测工具总结培训提要逻辑漏洞专题讲座第2页逻辑漏洞概述逻辑漏洞专题讲座第3页逻辑漏洞概述逻辑漏洞出现全部应用程序都经过相关逻辑实现各种功效。而编程实际上就是将这些功效分解成独立、简单逻辑单元，并用代码实现。大量逻辑操作加上不一样背景开发人员，增加了逻辑缺点出现概率。逻辑漏洞本质主要源于设计者或者开发者在思索过程中做出特殊假设存在显著或隐含错误。逻辑漏洞专题讲座第4页逻辑漏洞概述逻辑漏洞特点普遍存在性：因为功效实现需要大量逻辑操作，同时受制于程序员背景，这类缺点普遍存在于各类应用程序中。不固定性：或者称作“十分有针对性”，因为每一个逻辑缺点似乎都是唯一，它是基于逻辑操作，不一样功效逻辑不一样，所以无法用普通工具发觉他们。隐蔽性：大多数逻辑漏洞都十分隐蔽，它存在于操作关系当中，甚至是属于应用程序正常功效。逻辑漏洞专题讲座第5页逻辑漏洞攻击流程逻辑漏洞专题讲座第6页逻辑漏洞攻击流程逻辑漏洞专题讲座第7页逻辑漏洞攻击之应用程序解析逻辑漏洞专题讲座第8页逻辑漏洞攻击之应用程序解析攻击一个应用程序，首先要分析这个应用程序，了解清楚其本身功效、行为以及使用技术，有针对性攻击，那么成功机会就变大了。下面就是针对逻辑攻击来说应该考虑3个方面：了解应用程序功效。寻找数据输入点。确定业务操作流程。逻辑漏洞专题讲座第9页应用程序解析之了解应用程序功效大多数情况下，应用程序功效我们能够经过web浏览方式取得，其基本方法就是从主页面开始，查看网站标题或者首页导航菜单，以及多级页面浏览遍历，就能大致知道这个网站基本功效，以下列图所表示，就能够看出这个网站是一个在线票务类网站。经过网站自带网站地图就能快速了解其一些基本功效。逻辑漏洞专题讲座第10页应用程序解析之寻找数据输入点寻找数据输入点，就是寻找各种输入框（可编辑、不可编辑、隐藏、显示、脚本生成）或者可点击按钮等。简单点方法就是使用爬虫工具进行web站点扫描，全部url地址本身、url各个参数信息以及HTTP头部信息都属于输入点。不过这种情况，效率较低，若只是简单测试某个流程是否有逻辑漏洞，就不推荐使用这种方法，若是要完整检测安全性，则这种扫描是很有必要。逻辑漏洞专题讲座第11页应用程序解析之确定业务操作流程通常情况下，注册个测试账号（若需要），普通按照应用程序正常流程完全走一遍，在操作同时，把全部操作步骤数据包拦截下来，方便后续分析流程步骤包括到全部数据操作以及数据传输。若应用提供了操作步骤提醒信息，则也可大致了解到每个业务操作流程，了解到操作流程后，也就可猜测出可能存在哪个方面逻辑漏洞，到达快速渗透目标，以下列图：逻辑漏洞专题讲座第12页逻辑漏洞攻击之逻辑漏洞示例

(演示示例均引用自乌云)逻辑漏洞专题讲座第13页应用程序解析之逻辑漏洞示例1、不校验原始数据引发逻辑漏洞。比如乌云上114票务网示例（/bugs/wooyun--051779）。114票务网对修改密码时候不进行原密码验证就可直接修改任意用户密码，以下列图：逻辑漏洞专题讲座第14页应用程序解析之逻辑漏洞示例2、因为对验证码验证次数不限制，可造成穷举出验证码，亦可修改任意用户密码。比如乌云上易宝支付任意修改密码漏洞示例（/bugs/wooyun--060501），易宝支付对手机认证码验证次数不限制原因，4位数字验证码能够在10分钟穷举出用户密码，原文以下列图：逻辑漏洞专题讲座第15页应用程序解析之逻辑漏洞示例3、操作数据在页面间跳转传输过程未进行有效性校验，造成可任意修改敏感数据。比如乌云上中国联通某省套餐购置逻辑漏洞+订单泄露示例（/bugs/wooyun--084515），套餐购置提交订单时，不对商品订单金额进行校验，用户可随意修改订单价格（甚至为负数），以下列图（跨片）：逻辑漏洞专题讲座第16页应用程序解析之逻辑漏洞示例逻辑漏洞专题讲座第17页应用程序解析之逻辑漏洞示例逻辑漏洞专题讲座第18页逻辑漏洞攻击之挖掘方法

逻辑漏洞专题讲座第19页逻辑漏洞挖掘之确定应用所使用技术实际分析中可参考以下基本步骤：确定客户端技术，如表单校验形式(客户端或服务端校验)、脚本类型、cookie规则、Javaapplet、ActiveX控件与Flash对象。确定服务器端技术，如脚本语言(PHP、JSP、ASP等)、应用程序平台、数据库类型及电子邮件等交互系统。检验应用程序响应中HTTP消息头，如Server、Referer等。运行扫描工具对服务器做“指纹识别”。分析全部取得信息，包含文件扩展名、目录列表或URL规律。检验全部会话令牌和其它cookie名称等。获取分析第三方代码组件脚本、参数及行为等，发觉应用程序隐藏内容和功效。逻辑漏洞专题讲座第20页逻辑漏洞挖掘之测试项测试客户端输入验证测试客户端数据传输测试客户端组件逻辑测试多阶段过程逻辑测试不完整输入处理测试信任边界测试业务逻辑逻辑漏洞专题讲座第21页逻辑漏洞挖掘之测试客户端输入验证逻辑漏洞专题讲座第22页逻辑漏洞挖掘之测试客户端输入验证在客户端输入上，常采取伎俩是HTML表单、客户端脚本(Javascript、VBScript等)以及一些隐藏或禁用元素等。开发人员使用这些方法假设为：用户输入经过了客户端限制，从而能够确保数据正当性。逻辑漏洞专题讲座第23页逻辑漏洞挖掘之测试客户端输入验证举例：功效：页面输入字段为预防各类攻击（eg：SQL注入），采取了单引号转义，将两个单引号组成一个原义单引号，同时限制了输入长度为128字符。假设：对于攻击防御采取转义，则攻击者无法实现单引号输入攻击。攻击：考虑以下情况，假如经过应用程序单引号转义后字符串，提交给了截断模块，那么是否能够绕过限制。逻辑漏洞专题讲座第24页逻辑漏洞挖掘之测试客户端输入验证假如我们考虑用户名修改为：adminnnnnnn[127个字符]’因为先做转义再截断，则输入数据依然是adminnnnnnn[127个字符]’配合password字段输入or1=1---，则查询语句变成：SELECT*FROMusersWHEREname=’adminnnnnnn[127个字符]’’andpassword=’or1=1---’因为在数据库中连续两个单引号作为转义，所以会被当做数据而非结构，则数据库实际查询用户名为：adminnnnnnn[127个字符]’andpassword=所以我们能够结构or1=1---部分，实现注入查询。逻辑漏洞专题讲座第25页逻辑漏洞挖掘之测试客户端输入验证

总结，在实际分析中可参考以下基本步骤：在用户输入提交给服务器之前，确定使用长度限制和JavaScript脚本等进行数据输入检验条件。经过提交客户端限制输入，轮番测试每一个受影响字段，确定服务器是否使用相同输入确认。检验确认HTML表单禁用元素，修改其数据，与其它表单一起提交，以确定该元素是否会对应用程序逻辑产生影响。删除、修改或禁用客户端脚本，确定服务器是否只依赖客户端检验。利用客户端本身功效，如转义、长度限制等进行避开输入以改变程序执行逻辑。逻辑漏洞专题讲座第26页逻辑漏洞挖掘之测试客户端数据传输逻辑漏洞专题讲座第27页逻辑漏洞挖掘之测试客户端数据传输应用程序通常以终端用户无法查看或修改方式向服务器传送数据。通常开发者认为所采取传输机制将确保传输过程中数据不被修改。普通经过客户端传送数据方式有隐藏表单字段、HTTPcookie、URL参数、Referer消息头、含糊数据、ASP.NETViewState等。逻辑漏洞专题讲座第28页逻辑漏洞挖掘之测试客户端数据传输举例：功效：当前有一个用户登录系统，登录成功后会显示用户欢迎。用户名等信息以POST方式提交：假设：开发者假设用户数据传输过程中是安全。逻辑漏洞专题讲座第29页逻辑漏洞挖掘之测试客户端数据传输攻击：假如我们使用BurpSuiteProxy拦截传输过程中请求：逻辑漏洞专题讲座第30页逻辑漏洞挖掘之测试客户端数据传输修改用户名和密码后forward，查看结果：逻辑漏洞专题讲座第31页逻辑漏洞挖掘之测试客户端数据传输总结，实际分析中可参考以下基本步骤：在应用程序中，确认隐藏表单字段、cookie和URL参数显著用于客户端传送可控数据全部情况。依据以上数据出现位置极其名称与值，尝试确定其在应用程序逻辑中发挥作用。修改在应用程序相关功效中值，确定应用程序是否处理字段中提交任意值，并确定这么做是否能够干扰其正常逻辑。假如应用程序经过客户端传输含糊数据，我们依然能够使用各种方式攻击它。如：假如含糊处理，则能够尝试破解算法，提交任意数据。假如采取安全加密，则可使用其它加密块替换提交以攻击程序逻辑。逻辑漏洞专题讲座第32页逻辑漏洞挖掘之测试客户端组件逻辑

逻辑漏洞专题讲座第33页逻辑漏洞挖掘之测试客户端组件逻辑客户端组件及控件也是一个搜集、确认并提交用户数据主要方法。因为速度和用户体验方面原因，之前在服务器端处理任务将在客户端执行，这将有意无意增加客户端风险。开发者假设操作用户都是可信任或者浏览器扩展会自行防御恶意企图。因为相对HTML表单和JavaScript确认机制，控件方式愈加不透明，这也使得开发者认为控件确实认愈加安全。逻辑漏洞专题讲座第34页逻辑漏洞挖掘之测试客户端组件逻辑举例：功效：购物网站普通都有购物车功效，这些功效大多是由控件实现，同时控件中会加载一些购物策略，eg：购物满多少能够打几折等，经过分析我们可能能够直接取得低折扣商品价格。同时在结算页面确认时还能够选择商品数量及退订商品。假设：当购物车商品满1000元时候，能够享受8折优惠，当满元时候能够享受7折优惠，同时在提交结算页面时计算最终折扣。逻辑漏洞专题讲座第35页逻辑漏洞挖掘之测试客户端组件逻辑攻击：以上假设没有考虑到购物者放入商品后结算确认时再修改商品情况，所以购物者能够将大量商品放入购物车以取得最优折扣，在结算确认页面再将部分商品退掉或修改商品数量，这么就能够取得最优折扣。以上例子举比较浅显，实际控件功效逻辑愈加复杂，同时数据可能会采取含糊或者加密处理，所以实际分析中应该愈加严谨。逻辑漏洞专题讲座第36页逻辑漏洞挖掘之测试客户端组件逻辑总结，实际分析中可参考以下基本步骤：使用代理工具对客户端和服务器端流量进行监视。假如发觉数据被序列化，则能够使用某种反序列化工具或插件。浏览控件在客户端全部功效，并使用代理修改关键请求或者服务器响应，以确认任何能够改变数据逻辑功效。反编译客户端控件，分析相关代码，确认其中输入限制及其它逻辑方式。逻辑漏洞专题讲座第37页逻辑漏洞挖掘之测试客户端组件逻辑附加调试器，查找监视关于安全及业务逻辑功效和值，并设置断点，修改参数或返回值，尝试逻辑攻击。借助客户端组件或控件调用代码，执行有目标数据调用及输入或者进行含糊输入测试，并监控处理结果。尝试发觉各种隐藏功效、参数或资源，经过开启功效或调用资源等取得服务器资源。尝试经过组件功效取得其它相关信息（eg：对手信息、预公布信息等）。逻辑漏洞专题讲座第38页逻辑漏洞挖掘之测试多阶段过程逻辑

逻辑漏洞专题讲座第39页逻辑漏洞挖掘之测试多阶段过程逻辑应用程序最终提交需要经过多个阶段信息获取及确认（eg：找回密码、订单提交）。针对这类功效，开发人员默认前一阶段提交过来数据是可信，这种假设也就造成了大量多阶过程逻辑漏洞。举例：功效：普通网上购物流程以下：浏览商品并添加到购物车确认订单输入支付信息输入交货信息逻辑漏洞专题讲座第40页逻辑漏洞挖掘之测试多阶段过程逻辑假设：开发者会认为用户总会按照预定次序执行每一个步骤，因为这是应用程序经过显示在浏览器中导航链接和表单向用户提供处理次序。所以，开发者认为任何完成订购过程用户一定已经提交了正确支付信息。攻击：这里开发者假设存在显著缺点，用户控制着他们向应用程提出每一个请求，所以能够以任何次序访问订购过程每一个阶段。假如直接从步骤2进入步骤4，攻击者就能够生成一个最终确定交货但实际并未支付订单。以上攻击方法叫做强制浏览，包含突破浏览器导航对应用程序功效访问次序实施任何限制。逻辑漏洞专题讲座第41页逻辑漏洞挖掘之测试多阶段过程逻辑总结，实际分析中可参考以下基本步骤：假如一个多阶过程需要按照预定次序提交一系列请求，尝试按其它次序提交这些请求。尝试完全省略某个阶段，几次访问同一个阶段，或者推后访问前一个阶段。确保应用程序访问不一样阶段所使用机制。这些阶段可能经过一系列指向特殊URLGET或POST请求进行访问，或者向同一个URL提交不一样参数。被访问阶段能够经过提交参数中指定名称或索引来确定。逻辑漏洞专题讲座第42页逻辑漏洞挖掘之测试多阶段过程逻辑尝试提取某一阶段参数，并在另一个阶段中提交这些参数。假如相关数据被应用程序更新，应该确定是否能够利用这种行为破坏应用程序逻辑。依据执行功效情形，了解开发者做出假设及主要攻击面位置。设法找到违反这些假设以在应用程序造成反常行为方法。假如应用程序表现出一系列异常现象，eg：提醒错误、变量未赋值或初始化等。寻找有用错误消息及调试结果，能够经过他们深入了解该功效内部机制，从而调整攻击方向和方法。逻辑漏洞专题讲座第43页逻辑漏洞挖掘之测试不完整输入处理

逻辑漏洞专题讲座第44页逻辑漏洞挖掘之测试不完整输入处理客户端完成对用户输入搜集及确认，必要时会对数据进行计算或简单功效处理，部分情况下应用程序处理过程和一些数据是否输入相关，eg：不勾选发票项，则不走发票流程。这些功效处理是本着用户并不知情关键数据对功效详细影响前提假设（客户端对用户屏蔽处理机制），这也会引入大量安全问题。逻辑漏洞专题讲座第45页逻辑漏洞挖掘之测试不完整输入处理举例：功效：应用程序为用户提供密码修改功效。它要求用户填写用户名、当前密码、新密码以及新密码确认。同时应用程序还为管理员提供密码修改功效，它允许管理员修改任何用户密码，而不需要提供用户当前密码。这两个功效在同一个服务器端脚本中执行。逻辑漏洞专题讲座第46页逻辑漏洞挖掘之测试不完整输入处理假设：应用程序为用户和管理员提供界面仅有一点不一样：在管理员界面中没有用于填写现有密码字段。而后端采取是同一个脚本。它经过请求中是否包含当前密码来确认请求是来自用户还是管理员。攻击：一旦确定了假设，攻击就变得十分轻易。普通用户能够经过提交不包含现有密码请求修改任何用户密码，从而完全控制用户账户。逻辑漏洞专题讲座第47页逻辑漏洞挖掘之测试不完整输入处理总结，实际分析中可参考以下基本步骤：轮番测试每一个参数，从请求中删除参数名称或值，监控应用程序响应，查找全部行为异常或错误消息，以取得和应用程序逻辑相关信息。一次仅修改一个参数，确保到达应用程序中全部与参数相关代码路径。假如所操纵请求属于一个多阶过程，应测试整个过程。因为应用程序可能将前一个阶段数据保留在会话中，然后在后一个阶段处理。逻辑漏洞专题讲座第48页逻辑漏洞挖掘之测试信任边界

逻辑漏洞专题讲座第49页逻辑漏洞挖掘之测试信任边界

信任边界指在什么地方更改信任级别，大部分情况下表现为访问控制权限更改。应用程序对信任边界状态转换处理往往存在着看似安全假设，所以分析清楚应用程序信任边界将有利于发觉这类逻辑缺点。举例：功效：应用程序使用一个安全、多阶登录机制，要求用户提供多个不一样证书才能取得访问权限。逻辑漏洞专题讲座第50页逻辑漏洞挖掘之测试信任边界假设：应用程序在实现登录认证过程中将经过验证用户相关标示符暂时保留在一个静态（非会话）变量中，然后执行其它“准备”工作，之后应用程序再读取这个变量值。因为这个间隔时间十分短暂，所以开发者认为是安全。攻击：假如出现这么一个情况：用户集中登录，这个时候就会出现，变量改写后，又被另一个登录用户改写，所以当前一个用户回来取变量值时候，用户分配到就是后一个登录者会话，同时取得后者访问权限。逻辑漏洞专题讲座第51页逻辑漏洞挖掘之测试信任边界总结，实际分析中可参考以下基本步骤：了解应用程序怎样处理不一样用户信任状态之间转换。经过在一个区域积累相关状态，在信任边界之间进行不恰当转换，然后以正常不被允许方式切换到另一个区域。确定是否能够利用更高权限功效直接或间接访问或者猜测一些信息。逻辑漏洞专题讲座第52页逻辑漏洞挖掘之测试业务逻辑

逻辑漏洞专题讲座第53页逻辑漏洞挖掘之测试业务逻辑业务逻辑攻击，其特点是利用正常、正当业务流程进行攻击，而非破坏逻辑。举例：用户登录为预防自动化登录攻击而设定了锁定次数，当正常登录错误到达一定次数后则封锁该用户一段时间。假设：此功效假设是预防恶意登录攻击，从而保护用户账户安全。逻辑漏洞专题讲座第54页逻辑漏洞挖掘之测试业务逻辑攻击：我们考虑另一个情况，假设某电商网站做活动，进行某件商品竞拍，出价最高者取得此商品。假如在靠近竞拍结束时候，竞争对手价格比自己高，而再次出价竞争对手也可能加价，这种情况下我们就能够利用业务逻辑攻击，有意使用错误密码登陆对手账户另其锁定，无法再次出价，从而顺利取得该商品。逻辑漏洞专题讲座第55页逻辑漏洞挖掘之测试业务逻辑总结，实际分析中可参考以下基本步骤：分析应用程序正常逻辑、目标以及使用场景。尽可能将其应用场景进行扩展，并结合详细业务内容进行分析。分析是否能够使用一连串交易到达一个状态，从而完成预期目标（eg：屡次低额转账代替单次大额转账）。假如应用程序依据用户控制数据或操作确定处理方式或其它敏感内容，应首先分析应用程序使用算法及需要调整逻辑。努力想方法操纵应用程序行为，使应用程序进行调整与开发者最初设定标准相矛盾。逻辑漏洞专题讲座第56页商业逻辑漏洞攻击逻辑漏洞专题讲座第57页商业逻辑漏洞攻击概述当前应用逻辑攻击发展出来一个新型攻击方式称之为BLA，即BusinessLogicAttacks(商业逻辑攻击)缩写，这是由世界著名数据安全企业Imperva在

年6月至11月期间所发觉一个新型网络攻击方式(详情参阅《黑客发觉攻击新伎俩-关注业务逻辑攻击》)，而这种攻击很可能将成为未来互联网世界里商战雏形。逻辑漏洞专题讲座第58页商业逻辑漏洞攻击概要攻击分类攻击目攻击手段实际案例未来分析逻辑漏洞专题讲座第59页商业逻辑漏洞攻击攻击分类现在有两类商业逻辑攻击比较流行：电子邮件提取和垃圾评论。未来还会出现以操纵商业进程为目标攻击伎俩，这类攻击一旦发展起来，将对互联网商业造成巨大威胁。攻击目标电子邮件提取：建立垃圾邮件发送列表。垃圾评论：首先导入流量，使得其获益网站在搜索引擎排名靠前，首先让搜索引擎更多搜到获益网站，从而诈骗潜在消费者。逻辑漏洞专题讲座第60页商业逻辑漏洞攻击攻击伎俩电子邮件提取：经过电子邮件地址抽取实现攻击，它模拟真实用户访问客户网站(论坛、博客、社交网络……)，对客户Web网站中电子邮件地址进行简单抽取和分类，而这一系列动作与正惯用户访问几乎完全一样，极难辨识出其真实目标。垃圾评论：攻击者会在一些排名靠前论坛注册，发表、回复一些言论，内嵌恶意链接地址来改变搜索引擎结果。为了让所发帖子处于显著位置被更多网友看到，恶意攻击者会发起投票，或想方法设置成置顶帖。逻辑漏洞专题讲座第61页商业逻辑漏洞攻击实际案例在，一家移动运行商（假设叫FlawedP）为其客户增加了一项webmail+SMS服务，开通和使用流程以下：新客户能够凭SIM卡开通一个以FlawedP为域名无偿、永久email账户。这个email账户在用户SIM卡转到其它运行商时仍会保留。因为SIM卡注册到了FlawedPhone，所以每次收到email邮件，FlawedPhone都会给客户发送一条SMS，内容包含发件人和邮件主题。同时SMS程序会每8个小时检验一下当前正当用户列表。逻辑漏洞专题讲座第62页商业逻辑漏洞攻击攻击步骤：攻击者买一张新FlawedPhoneSIM卡。攻击者马上将卡转到另一个运行商，这个运行商会在客户每收到一条SMS信息时支付给客户0.05欧元。一旦转卡完成，攻击者就会向FlawedPhoneemail账户发送数以千计邮件。在email+SMS应用程序检验并更新正当用户列表前，攻击者最多拥有8个小时空档。到发送截止时，攻击者账户上大约已经有50-100欧元了，然后这个SIM卡就能够放到eBay上出售了。逻辑漏洞专题讲座第63页商业逻辑漏洞攻击未来分析：据统计，这些商业逻辑攻击在恶意攻击流量中占到14%。黑客能够利用应用程序截获私人信息，进行扭曲，并外泄给其它更多用户，而这些行为通常不受安全控制。一旦商业逻辑攻击(BLA)与高级可持性(APT)类攻击相结合，所暴发出来网络商战威力将不容小视。逻辑漏洞专题讲座第64页逻辑漏洞攻击防御逻辑漏洞专题讲座第65页逻辑漏洞攻击防御概述鉴于逻辑漏洞本质，即使实施安全开发标准、使用代码审查工具或常规渗透测试，我们依然无法防止这种缺点。逻辑漏洞多样性特点使得探查与预防他们往往需要从各个不一样角度思索问题，这预示着在很长一段时期内，逻辑缺点仍将大量存在。基于开发流程及设计预防基于网络行为识别防御逻辑漏洞专题讲座第66页基于开发流程及设计预防遵照以下最正确实践能够显著降低在应用程序中出现逻辑缺点风险：确保将应用程序中各个方面设计信息清楚、详细统计在文档中，以方便其它人员了解设计者做出每个假设。要求全部源代码提供清楚注释，包含但不限于以下内容：每个代码组件用户和预计使用方法。每个组件对它无法直接控制内容做出假设。清楚统计全部调用组件代码效果。逻辑漏洞专题讲座第67页基于开发流程及设计预防在以安全为中心应用程序设计审核中，考虑在设计中做出每一个假设，并想象假设被违反每种情况。在以安全为中心代码审查过