從JS檔案中發現認證繞過漏洞

從js檔案中發現『認證繞過』漏洞。本文內容源自乙個私有漏洞賞金計畫。在這個漏洞計畫中，接受的漏洞範圍限於目標**少數幾個公開的功能。基於前期發現的問題(當我被邀請進這個計畫時，其他人一共提交了5個漏洞)，似乎很難再挖到新的漏洞。同時，在賞金詳情中提到了這樣一句話：

如果你成功進入管理頁面，請立即報告，請勿在/admin中進行進一步的測試。

然而，目標**中存在乙個僅限於未認證和未經授權的使用者訪問的管理頁面。當我們訪問/login或/admin時會跳轉到

對登入頁面進行暴力破解也許是乙個可行方案，但是我並不喜歡這種方式。看一下網頁原始碼，沒什麼有用的內容。於是我開始檢視目標**的結構。似乎目標**的js檔案都放在少數幾個資料夾中，如/lib、/js、/application等。

有意思!

祭出神器burpsuite，使用intruder跑一下看能否在上述資料夾中找到任何可訪問的js檔案。將攻擊點設定為注意，不要忘記.js副檔名，這樣如果檔案能夠訪問則返回200響應。確實有意思!因為我找到了一些可訪問的js檔案，其中乙個檔案是/login.js。

訪問這個js檔案請求被重定向至管理頁面:) 。但是，我並沒有檢視該檔案的許可權，只能看到部分介面資訊。

但是我並沒有就此止步。這看起來很奇怪，為什麼我訪問乙個.js檔案卻被作為html載入了呢?經過一番探查，終於發現，我能夠訪問管理頁面的原因在於*login*。是的，只要在請求路徑/dashboard/後的字串中含有*login*(除了'login'，這只會使我回到登入頁面)，請求就會跳轉到這個管理介面，但是卻沒有正確的授權。

我繼續對這個受限的管理介面進行了進一步的測試。再一次檢視了頁面原始碼，試著搞清楚**結構。在這個管理介面中，有其他一些js檔案能夠幫助我理解管理員是如何執行操作的。一些管理操作需要乙個有效的令牌。我試著使用從乙個js檔案中洩露的令牌執行相關管理操作，然並卵。請求還是被重定向到了登入頁面。我發現另外乙個真實存在的路徑中也部署了一些內容，那就是/dashboard/controllers/*.php。

再一次祭出burpsuite，使用intruder檢查一下是否存在可以從此處訪問的其他任何路徑。第二次intruder的結果是，我發現幾乎不存在其他無需授權即可訪問的路徑。這是基於伺服器返回的500或者200響應得出的結論。

回到我在上一步偵察中了解到的**結構中，我發現這些路徑是在/controllers中定義的，通過/dashboard/*here*/進行訪問。但是直接訪問這些路徑會跳轉到登入頁面，似乎**對session檢查得還挺嚴格。此時我又累又困，幾乎都打算放棄了，但是我想最後再試一把。如果我利用與訪問管理頁面相同的方法去執行這些管理操作會怎麼樣呢?很有趣，高潮來了:) 我能夠做到這一點。

通過訪問/dashboard/photography/loginx，請求跳轉到了admin photography頁面，並且擁有完整的許可權!

從這裡開始，我能夠執行和訪問/dashboard/*路徑下的所有操作和目錄，這些地方充滿了諸如sql注入、xss、檔案上傳、公開重定向等漏洞。但是，我沒有繼續深入測試，因為這些都不在賞金計畫之內，根據計畫要求，一旦突破管理授權限制，應立即報告問題。此外，根據管理頁面顯示的除錯錯誤資訊可知，我之所以能夠訪問到管理頁面，是因為應用程式在/dashboard/controllers/*檔案中存在錯誤配置。期望達到的效果是：只要請求鏈結**現*login*，就重定向至主登入頁面，然而，實際情況並不如人所願。

從JS檔案中發現認證繞過漏洞

創業心得從客戶的抱怨中發現市場機會

從金融危機經濟危機中發現機遇接受挑戰

從找實習的過程中發現了自己的弱點

從JS檔案中發現 認證繞過 漏洞

創業心得 從客戶的抱怨中發現市場機會

從金融危機 經濟危機中發現機遇接受挑戰

從找實習的過程中發現了自己的弱點

相關推薦

從JS檔案中發現認證繞過漏洞

創業心得從客戶的抱怨中發現市場機會

從金融危機經濟危機中發現機遇接受挑戰