下面小編為大家介紹漏洞和自動化腳本的具體,自動化腳本,就是通過編寫代碼,將本來需要認為進行的重復(fù)操作,通過代碼來自動進行。
什么是漏洞? 我先抄一段百度百科。 漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。 摘取其中的三個關(guān)鍵點: 1、系統(tǒng)缺陷 2、能被未授權(quán)利用 3、利用后能達到某種目的或效果 我們來舉幾個利用漏洞買月餅的思路(漏洞實例與截圖均來自于互聯(lián)網(wǎng)): 1、篡改金額 實例:某平臺訂單支付時的總價未驗證漏洞(支付邏輯漏洞) 很多系統(tǒng)在設(shè)計的時候,未對商品的價格進行校驗。導(dǎo)致你提交的購買的http包內(nèi)說這個商品價格多少錢,系統(tǒng)就會認為這個商品多少錢。從而造成漏洞。 比如說,你在某個平臺購買了一個商品,價值21元,然后點擊確認,會跳轉(zhuǎn)到第三方平臺進行支付。
在這個跳轉(zhuǎn)的過程中,截獲http包,在數(shù)據(jù)包中找尋代表金額價格的參數(shù)字段,修改參數(shù)值,比如改為1。
如果系統(tǒng)未做校驗,那么最終支付的價格就是1,也就是你可以花一塊錢,買到21塊甚至更高價格的商品。最終支付的價格你也可以改成0,甚至改成負數(shù),有的系統(tǒng)做的不好,在用系統(tǒng)幣購買東西的時候?qū)⒔痤~改成負數(shù),反而會造成你賬號內(nèi)的余額增加的情況。 2、篡改商品編號 實例:某積分商城支付漏洞再繞過 比如說現(xiàn)在商城有好多種商品,有的隨便什么人都可以買,有的需要注冊會員可以買,那么這種情況下,如果系統(tǒng)權(quán)限校驗的不好,那么我就可以通過在商城中買low點的商品,然后截獲網(wǎng)絡(luò)包,在網(wǎng)絡(luò)包中更改商品類型,把low的商品改成高級的商品,從而繞過普通人不能購買高級商品的限制。 在商城中看中了一個高級的鼠標,但是需要30積分
積分不夠,無法購買,先買一個低積分的商品,然后修改商品id,換成鼠標的id
購買成功。 3、業(yè)務(wù)亂序,繞過支付步驟 實例:某分站邏輯錯誤可繞過支付直接獲得取票密碼 比如說,一次正確的購買步驟包括: 1、提供相關(guān)信息,包括賬號,商品 2、進行支付 3、支付成功,返回交易憑證。 如果業(yè)務(wù)邏輯處理的不好,第三步返回交易憑證的時候,系統(tǒng)沒有對支付是否成功進行校驗,那么就可以構(gòu)造數(shù)據(jù)包,直接跳過支付過程,獲取交易的憑證。 在系統(tǒng)上購買了兩張電影票
截包,修改字段,跳過支付步驟
直接跳回到取票頁面
凡是利用支付漏洞或者業(yè)務(wù)邏輯漏洞來獲利的情形,必然都會滿足系統(tǒng)本身存在缺陷,利用過程存在未授權(quán)情況,利用者通過使用缺陷獲利或達到目的這三個特征。 那么什么是自動化腳本呢? 自動化腳本,就是通過編寫代碼,將本來需要認為進行的重復(fù)操作,通過代碼來自動進行。它在很多情況下,是不涉及系統(tǒng)缺陷的利用的,只是將人需要進行的手工操作,通過機器來進行了自動化而已,是程序猿提高日常工作效率的一種常見手段。 比如: 老板讓我給他一個從0計數(shù)到1000的文件,我當然不可能1,2,3…一個數(shù)字一個數(shù)字打進去,那得打到什么時候啊,我肯定用程序循環(huán)遞增然后把結(jié)果寫入文件。 with open('result.txt','wb')as f: for i in range(1,1001): f.write(str(i)+'\n') 這就可以稱得上是自動化腳本了!涉及漏洞嗎?不涉及!涉及系統(tǒng)缺陷嗎?不涉及!他只是程序猿通過編碼,讓機器代替人手動的重復(fù)工作而已! 再比如,我想每天盡早的看到了輪子哥今天帶逛了什么內(nèi)容,我當然不可能時時刻刻的去刷輪子哥的timeline對不對?那我可以寫個代碼啊,每10分鐘去抓一次輪子哥主頁的內(nèi)容,看看有沒有更新,如果有,看看更新里有沒有圖片,如果有圖片,把圖片存下來,并且給我發(fā)送提醒。(下個月有空了真可以考慮開發(fā)一個。。) 這叫自動化腳本!它的本質(zhì)是通過代碼讓機器代替人工! 科普完了,說點感想,以下感想均為個人看法,不代表團隊觀點,請勿曲解。 我覺得,現(xiàn)在大眾的眼中,安全人員被妖魔化了,一看到安全人員就會覺得渾身緊張,仿佛安全人員動不動就能盜刷你銀行卡,看你微信,霸你房產(chǎn),搶你老婆。所以啊,恨不得你們這群人都被栓的死死的才好,這樣我才能人財“安全”。 那么為什么會出現(xiàn)這種偏見呢,還是安全常識及相關(guān)知識普及的不夠。因為不懂,所以神秘,因為不懂,所以恐懼。 我覺得安全從業(yè)者們可以通過不同的平臺,對大眾進行一些深入淺出的安全科普,提高大眾的安全意識和認知,增進普通人對信息安全的了解。 我也想繼續(xù)通過大事件這個平臺,做一點微小的科普工作,不足的地方,還請大家指正。 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
