Web应用信息
开发语言:ASP开发框架:.NET 4.0.30319由于使用的是ASP.NET开发框架,因此服务器中间件大概率是IIS了。同理数据库可能采用的是MSSQL中间件:Tengine支持的请求方法:GET、POST、OPTIONS
.do结尾的,网上搜到的相关介绍都是说该后缀的文件是Java的,但是根据前面收集到的信息显然是不合理的,结合后面一些遇到的URI,推测这是一种以.来分割的路由书写格式。CSRF漏洞
微课上传资源上传文章发布相册上传视频上传话题发布、回复、点赞、删除私信功能关注、取消关注功能个人资料修改、头像修改、隐私设置功能安全设置中的邮箱、手机绑定功能
UserName这个变量,因为后端会对UserNumb这个字段进行校验,因此需要知道受害者的UserNumb这个字段是多少,但是其他功能点并不一定有该限制。BurpSuite的CSRF构造功能生成相应的CSRF页面:CSRF的方式除了对请求的主动性进行验证之外,还有就是附加数据(cookie)是否设置了httponly属性来禁止跨域。很不巧的是这里用于身份验证的
cookie EDUSSO就设置了httponly属性来禁止跨域,不过这里还是有csrf漏洞。get、post、options三种http的请求头,此处我们利用BurpSuite的功能修改请求方式由post至get,再生成csrf的poc。可以看到此时访问成功,但是提示修改的网校号不是自己的,后续只要修改一下网校号即可。
微课上传资源发布话题删除私信关注、取消关注个人资料修改、隐私设置功能安全设置中的邮箱、手机绑定功能视频上传功能不过这个视频上传功能处的CSRF利用局限性较大,需要知道视频专辑处随机生成的唯一识别ID才能够上传至指定的专辑。
post方式修改为了get方式之后就绕过了httponly限制的原理,这里标记一下,后面需要了解一下httponly的实现原理。httponly的限制之外还手动添加了token 字段来验证请求的主动性。2.1 文章功能测试
2.1.1 我的文章功能模块
GET方式的请求无法成功,其中TypeID为文章分类的ID识别发送人的是SESSION因此CSRF以及越权都没有此类漏洞。MyArticle.Post.data尝试修改其中的Post为Get再发送请求,但请求失败证明了后台没有相关功能,不能通过Get请求来发布文章。AddTime参数能控制前台显示的时间,但是时间格式有严格限制,无法实现存储型XSS。文章的由唯一标识ID号来识别,无法通过参数来控制,故此处也无法实现存储型XSS
id的方式来确定修改的文章编号:2.1.2 分类管理功能测试
同样是通过
POST传递参数,通过SESSION来确定用户,因此并且通过服务器自动参数的ID来标识文章分类,因此这里不会有越权以及XSS。GET方式来发送请求,继续测试是否存在CSRF漏洞。经测试,该处存在CSRF可以通过此种方式替他人创建文章分类。
是通过id来确定要修改的分类,同样通过修改ID发现无法实现越权修改功能。
Post及Get方式参数数据,经过测试此处存在CSRF,但实现CSRF还需要知道分类ID,限制较大。Get方式发送请求,同样不支持通过修改ID来删除其他人的分类、删除系统分类。2.2 微课功能测试
2.2.1 微课列表功能测试
fileName[]这个属性的值会被展示在前台的DOM树当中且无过滤,故此处存在XSS漏洞:这里使用
console.log("b1ak2")来进行JS脚本运行判断,修改请求包相关字段如下:控制台显示效果如下:
Get方式,经过测试此处同样存在CSRF漏洞。采用相同的方式,通过GET请求来完成CSRF,不过这次的功能点会弹出文件下载请求:不过其中的内容是空的,此时不管是否下载CSRF攻击已经完成了:
HTTP代码如下:除了ID定位之外还加上了科目ID,必须要两者同时匹配才能够删除相关资源,同样支持
Get方式传递http请求故同样存在csrf漏洞,但伪造难度过大。2.3 资源功能测试
2.3.1 资源列表功能测试
2.4 相册功能测试
2.4.1 我的相册
http请求包如下:可以通过修改
imgList属性值来达到修改显示名称的作用,且该段数据可以插入到DOM树当中,但是对双引号有一定限制措施,尝试了一下之后没有找到有效的利用方式,不在这个功能点上死磕了。categoryId来确定要上传的相册位置,替换为他人的相册ID之后服务端会报错,故此处并不存在越权漏洞,此处也支持Get方式传递数据故CSRF漏洞同样存在。Get方式发送请求,故此处不像之前一样有CSRF漏洞Name属性的值会出现在DOM树当中,同样可以通过修改来达到存储型XSS的目的,但是对这里有长度限制,不过这里出里共会在DOM当中出现3次,可以依靠这个来实现绕过也说不一定。Get方式发送请求,CSRF漏洞无望,数据包情况如下:通过唯一身份识别的ID来定位相册,这里通过修改ID来定位到其他用户的相册,虽然服务器端没有报错但是功能并没有实现,越权漏洞失败。
依靠的是唯一识别ID来定位相册。
Get形式传递请求则同样存在CSRF漏洞。而修改至他人ID后服务器端处理出错,也不存在逻辑漏洞。2.5 视频功能测试
2.5.1 我的视频功能测试
该处存在XSS,
CategoryName与PicURL两参数均存在存储型XSS,修改相应参数即可。不过PicURL会判断双引号是否成对出现,不过采用1"><script>alert(1)</script><"类似的格式来绕过即可Get方式传递http请求故存在CSRF漏洞。Session即无法测试相关的越权漏洞。是通过
CategoryID来确定相册的,本身功能页面是和创建相册相同的,相同漏洞此处不重复测试。CategoryID来定位到其他用户的相册,故相册编辑功能处存在逻辑越权漏洞。是通过
CategoryID来定位相册的,可以通过Get方式发送http请求,推测此处同样存在CSRF漏洞,经测试确实存在。Get方式传递http请求,经测试存在CSRF漏洞。CategoryID来识别的,同样存在越权逻辑漏洞。修改数据至如下:
相册访问页面也是通过
CategoryID来识别的,将该ID修改为他人相册后可以成功访问,此处存在水平越权逻辑漏洞。2.6 动态功能测试
http请求如下:<>之前的全部内容,暂未想到有什么好的利用方法。同样是有token,且身份识别依靠的是
SESSION故无CSRF及越权漏洞。SESSION且存在token对请求的唯一性进行验证:token对请求唯一性进行验证,同时删除他人回复会进行权限检测:同样支持
Get方式传输http请求,同样存在CSRF漏洞。2.7 话题功能测试
2.8 私信功能测试
能够自主控制的只有接收方和发送内容,不过好在这里同样可以通过
Get方式传递http请求,故此处存在CSRF漏洞。同样支持
Get方式发送请求,故此处同样存在CSRF漏洞。而发送者由SESSIOIN来确定,无法伪造发送人。2.9 关注功能测试
SESSION,故也不存在越权漏洞keyword,对该参数使用fuzz排查之后并未发现有特殊的回显,故判断此处没有SQL注入漏洞。2.10 设置功能测试
2.10.1 个人资料功能测试
UserName这个字段删去之后数据库会返回如下错误信息:2.10.2 修改头像功能测试
2.10.3 安全设置功能测试
Get方式发送http请求,也就造成了逻辑漏洞。两者配合即可在验证码有效期内修改受害人绑定的手机、邮箱账号。2.10.4 隐私设置功能测试
文章来源:http://www.b1ak2.xyz/
作者:b1ak2
如有侵权,请联系删除
推荐阅读
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247499598&idx=2&sn=c84d7a2b4ef1367412259036113e9b92&chksm=c04d7870f73af166532dfdec9a361f5de84b50d1a312f24e4e9452cd92da2deb310d82a16f1b#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh