• url参数接收的一些安全应用场景


       越权漏洞,从原来的修改id越权到后面的自己加参数,减参数越权,到现在的加特殊字符.攻击手段在进步:

       以php和java为例,聊聊参数接收的最大接受能力,可以插入哪些脏数据?

        demo1.php:

    <?php
        $a =$_GET['a'];
        if($a==1){
            echo 1;
        }else{
            echo "false";
        }
    ?>

      直接接收1参数,输出1,没啥问题:  

      测试环节1:在参数value前面加点东西跑下:

      

    在参数value的前面加入一些url编码数据,发现

    %09        
    %0a        
    %0b        
    %0c        
    %0d        
    %20        
    %2b        
    %30

     在数据前缀,加入这些url编码,不影响我们输出数据:

     测试环节2:在参数value后面加入一些url编码数据:

         

      发现可控我们选择的数据有很多,长度203的就是符合条件的,都是返回1的:

        

       当我自定义输入1aaa:

        

      仍然输出1,因为php中使用==匹配的是数字的时候,是自动帮你int,类似于intval操作.

        修复这个问题的办法有很多,其中一种修复方案是:

        修改代码:

    <?php
        $a =$_GET['a'];
        if($a===1){
            echo 1;
        }else{
            echo "false";
        }
    ?>

      再次尝试在参数value前面/后面加点数据:

      

      直接false.

      java下的处理:

        以spring boot为例子,其他的均未测试:

        测试demo:

        @ResponseBody
        @GetMapping("/PathOne")
        public void PathOne(@RequestParam("url") int url,HttpServletResponse response) throws IOException {
            if(url==1){
                response.getWriter().write("1");
            }else{
                response.getWriter().write("false,fasle");
            }
        }

      和上面的测试一样

      测试环节1:对url参数value前面数据测试:

      

      

    发现

    10    %09    200    false    false    93    
    11    %0a    200    false    false    93    
    12    %0b    200    false    false    93    
    13    %0c    200    false    false    93    
    14    %0d    200    false    false    93    
    29    %1c    200    false    false    93    
    30    %1d    200    false    false    93    
    31    %1e    200    false    false    93    
    32    %1f    200    false    false    93    
    33    %20    200    false    false    93    
    36    %23    200    false    false    93    
    44    %2b    200    false    false    93    

      加入这几种url编码数据不会影响我们的输出:

      测试环节2:在url参数value后面加入url编码数据进测试:

      没有php那么多:  

      

      他的底层和php的处理不一样.

      他可支持的url编码数据是:

    10    %09    200    false    false    93    
    11    %0a    200    false    false    93    
    12    %0b    200    false    false    93    
    13    %0c    200    false    false    93    
    14    %0d    200    false    false    93    
    29    %1c    200    false    false    93    
    30    %1d    200    false    false    93    
    31    %1e    200    false    false    93    
    32    %1f    200    false    false    93    
    33    %20    200    false    false    93    

      他的修复方案也有很多种,其中一种修复方案:

      修改代码:

      @ResponseBody
        @GetMapping("/PathOne")
        public void PathOne(@RequestParam("url") String url,HttpServletResponse response) throws IOException {
            if(url.equals("1")){
                response.getWriter().write("1");
            }else{
                response.getWriter().write("false,fasle");
            }
        }

      再次访问:

      

      

      再次添加url编码数据已经不能修改了.

      刚和phpoop聊完这个问题后,下午无聊刷推特就看到了相关实战案例,估计白帽子是黑盒的:

      实战案例应用场景,当提取参数value的时候,和业务交接的时候,可能会存在安全问题:

      example:    

      越权失败,新增一些url编码:

      

      更多的应用场景:waf bypass....

      实战案例应用场景参考:https://16521092.medium.com/some-ways-to-find-more-idor-da16c93954e5

          

         

       

      

  • 相关阅读:
    转载-解决ORACLE 在控制台进行exp,导出时,空表不能导出
    Oracle数据库创建用户与数据库备份小结
    C#语言-NPOI.dll导入Excel功能的实现
    DataTable转泛型List
    算法学习 之 欧几里得算法和扩展欧几里得算法(三 完)
    算法学习 之 欧几里得算法和扩展欧几里得算法(二)
    算法学习 之 欧几里得算法和扩展欧几里得算法(一)
    SWUST OJ Gold Nuggets Distribution(0490)
    SWUST OJ NBA Finals(0649)
    SWUST OJ 青蛙的约会之二(0481)
  • 原文地址:https://www.cnblogs.com/piaomiaohongchen/p/14945806.html
Copyright © 2020-2023  润新知