從團購網的漏洞看網站安全性問題
現在的網站安全問題非常突出,當然,現在非常火爆的團購網也不例外。自從9月份在同事推薦下在某團購網買了一份火鍋的套餐后,就迷上了,幾乎每天必去瀏覽一遍,看看有什么又便宜又好吃的。元旦期間當然也不例外,1號那天上午,看到了XXX團購網的“VIP會員0元領紅包”活動,0元?我最喜歡了,雖然參與過很多次0元抽獎的活動,一次也沒中,但是人總是有一種信念相信自己的運氣的。于是果斷進去注冊,點擊購買,進入了購物車再點擊確認訂單,但是“本活動只限VIP會員參與”?我第一反應是去看頁面源代碼(由于該活動已經結束,進不去購買頁面了,所以在這里我只好用偽代碼來表示):
- //確認訂單按鈕的點擊事件
- function btn_click(){
- ajax獲取當前用戶的類型
- 如果不是VIP,alert("本活動僅限VIP會員參與");
- 否則 form1.submit();
- }
然后我在地址欄敲入:javascript:form1.submit(); 回車! 進入付款頁面了,再點擊確定,購買成功!我獲得了5元紅包!
我又新注冊一個賬號,重復上面的步驟,也成功獲得了5元紅包。馬上給客服留言說明此BUG。這個漏洞的關鍵點是開發人員忘記了在form1.submit()的后臺代碼中判斷當前用戶是否VIP會員,只依賴于javascript的驗證。
前臺的驗證完全可以繞過去,后臺的驗證才最重要!有了上午的收獲,1號晚上我就繼續找別的團購網的漏洞,果然被我找到一個更嚴重的。該團購網也舉行了一個元旦抽獎砸金蛋活動,也是免費參與,購買后發現得邀請好友參與活動才有砸金蛋的機會,邀請一個好友就多一個機會,如圖:
我一點擊金蛋就alert一句“沒有抽獎機會了快去邀請好友吧!”,恩,又是javascript?看看代碼先:
這便是金蛋的點擊事件,其中有一個用AJAX去訪問的頁面lottery1.php,而要傳過去的chance變量應該就是當前用戶擁有的砸蛋機會。我試著直接訪問lottery1.php?chance=1,返回error字符串,lottery1.php?chance=0也返回error,lottery1.php?chance=-1,也返回error,難道沒效果么?我刷新了一下砸金蛋的頁面,哇!!
我傳了-1過去導致溢出了?我試著砸了幾個,每次都成功獲得代金卷!接著試著用代金卷去下單,也能成功減免掉幾塊錢,不過一張訂單只能用一個代金卷,(當然測試用的訂單我最后取消掉了。)馬上聯系客服,居然下班了,QQ不在線,電話打不通,只好留了個言。
42億的金蛋呢,寫了段JS自動砸!截止現在一共有3588個金蛋被砸開,其中至少有2000多個是我砸的,得到了一大堆的代金卷:
#p#
整整185頁。到了2號,我重新查看該團購網的代碼時,發現了一個更嚴重的問題:
JS中有這么個方法
乍一看是跟錢有關的吧,傳入用戶ID和錢的數目,試試有什么效果。用戶ID怎么獲得呢?頁面上有:
這個96204就是我當前帳戶的ID了,訪問了一下,返回“線下充值成功”,充值頁面都不加權限驗證的?查看了一下帳戶余額,果然充值成功了:
有2萬余額了。這個漏洞太致命了,立馬給客服留言。剛留完言,他們的開發人員給我打電話了,和我討論砸金蛋的漏洞問題,正好將剛發現的漏洞一起告訴他。開發人員就是命苦啊,元旦期間,晚上10點多了,他還要改代碼。
改完他說老板可能送點禮品給我,最后他把我的帳戶余額清零了~~~~~~~~
總結一下:前臺的驗證都是不可靠的,后臺必須要都要驗證一遍;管理頁面一定要加訪問權限;傳遞到后臺的數據一定要進行合法性驗證;不必要傳遞的參數就不傳,比如那個砸蛋,我就想不明白為什么要把當前用戶擁有的砸蛋機會傳遞到后臺,直接從數據庫中讀取不行么?用戶ID不要以明文出現。另外還要防范XSS跨站腳本攻擊(一般用判斷主機頭的方式)
【編輯推薦】
