1. 业务安全漏洞介绍

前面把 Android 所有基础项都讲了一遍,今天我们来讲下 Android 业务安全漏洞。

Android 中的业务安全漏洞主要是偏向逻辑漏洞,需要耐心的挖掘,这里我整理了一些我在 Android 上之前挖掘到的漏洞。

当然 Android 的业务安全漏洞远不止这些,我这里只做个例讲解,后面如果还有时间整理了再发。

2. 任意用户密码重置

2.1 漏洞详情

在密码找回时图片验证码仅在前端校验,且短信验证码为四位数,攻击者可以利用此漏洞暴力猜解验证码,实现任意用户密码重置。

2.2 利用步骤

在忘记密码处填写密码重置表单,短信验证码为任意四位数。

image.png

成功爆破出短信验证码,爆破成功后再回到忘记密码处手动填写即可重置密码。

image.png

2.3 漏洞危害

攻击者可利用该漏洞重置任意用户的登录密码,获取用户所有权。

3. 转账处逻辑缺陷

3.1 漏洞详情

在攻击者给受害者转账时,将转账的数值设置为负数且受害者账户数值存在余额时,可以将受害者的账户转到攻击者账户上。

3.2 利用步骤

账户余额只有 0.0001。

image.png

将转账金额抓包修改为 -0.0001。

image.png

查看转账记录,发现转账数额是 —0.0001,然而负负得正,如果服务器没有对该字段进行有效性校验的话,这里就变成了转账却得钱的问题。

image.png

查看我的资产,发现资产从刚才的 0.0001 变成了 0.0002。

image.png

3.3 漏洞危害

攻击者可以通过修改转账金额为负数将受害者的资产全部转移。

4. 存储型 XSS

4.1 漏洞详情

经过测试,发现在账户头像上传处和身份认证处存在存储型 XSS。

4.2 利用步骤

头像上传处构造存储型 XSS payload,之后发送数据包上传头像。

image.png

访问头像处上传的恶意文件,触发 XSS。

image.png

4.3 漏洞危害

攻击者可以利用该漏洞执行恶意 HTML/JS 代码,构造蠕虫传播、篡改页面实施钓鱼攻击等。

5. 手机号枚举

5.1 漏洞详情

在账户注册和忘记密码处输入手机号由于没有图形验证码导致可以对已经注册手机号进行枚举。

5.2 利用步骤

在注册处输入的手机号如果账号未注册则显示该手机号码不存在。

image.png

而如果输入的手机号已经注册则显示发送短信成功。可以遍历手机号字典,通过返回包的不同获取已注册手机号。

image.png

5.3 漏洞危害

攻击者可以通过遍历手机号获取到已注册的用户,为进一步攻击做准备。

6. 敏感信息泄露

6.1 漏洞详情

信息收集阶段,在 GitHub 上发现了很多数据库账户密码泄露和一些测试代码泄露。

6.2 利用步骤

在 GitHub 上搜索项目相关内容,下图中可以看到我们收集到了项目的数据库地址和账号密码。

image.png

连接上数据库后发现有大量的内部人员敏感信息。

image.png

6.3 漏洞危害

攻击者可通过 GitHub 上获取的相关敏感信息获取到大量的用户。

7. 后台弱口令

7.1 漏洞详情

发现目标项目有一个某后台,且可以可以通过弱口令 xxxx/123456xxxxxxxxx/123456 等进行登录。

7.2 利用步骤

使用 BurpSuite 对后台进行爆破,发现存在大量弱口令密码。

image.png

7.3 漏洞危害

攻击者可通过弱口令登录到后台获取到内部人员信息和相关项目信息,从来进行进一步攻击或者进行社工。

8. 越权获取个人信息

8.1 漏洞详情

在 APP 中我的 -> 个人资料处存在越权查看个人信息,有大量敏感信息,包括手机号,加密后的登录密码,sid 等。

8.2 利用步骤

首先抓取自己个人信息的数据包,发现是通过 phone 字段来获取其信息。

image.png

使用刚才的数据包将 phone 字段修改成其他人的 phone,此时就会返回对应 phone 的全部信息,但这里服务器并没有对我们的身份进行认证。

image.png

8.3 漏洞危害

攻击者可通过修改手机号来获取任意账户敏感信息,对 md5 密码的解密可以得到对方的密码,并且在登录处密码也是 md5 加密,可通过获得的加密值,在登录时对数据包进行修改从而登录任意账户,修改绑定手机号和修改密码处同样也会验证原密码的 md5 ,攻击者可以利用此漏洞登录任意账户,改绑手机号,修改账户密码等。

9. 无限刷赞

9.1 漏洞详情

经测试,在每日运动步数处存在给任意用户刷赞漏洞,刷赞次数限制只在前端有限制,后端可以一直重放数据包,并且可以通过修改 xxxUid 字段来给任意用户无限刷赞。

9.2 利用步骤

对点赞抓取数据包,重放数据包发现点赞数量会增加。

image.png

9.3 漏洞危害

攻击者可通过重放数据包和修改 uid 的值达到对任意用户无限点赞,可能由此产生一系列黑产。

10. 短信轰炸

10.1 漏洞详情

由于没有对短信验证码数据包做限制,可能会导致攻击者进行短信轰炸。

10.2 利用步骤

抓取短信验证码发送的数据包,重放数据包,就可以对目标手机号进行短信轰炸了。

image.png

10.3 漏洞危害

攻击者利用此漏洞进行短信业务消耗,恶意消耗短信资源,也可以对某些人员进行恶意短信轰炸。