【Web安全】Portswigger 业务逻辑漏洞 Lab: 2FA broken logic 实验:双重认证逻辑失灵

【Web安全】Portswigger 业务逻辑漏洞 Lab: 2FA broken logic 实验:双重认证逻辑失灵 目录一.实验环境二.利用2FA逻辑失效用户登录漏洞分析漏洞利用通过开发者工具登录三.小结一.实验环境实验室利用2FA逻辑失效 |网络安全学院https://portswigger.net/web-security/authentication/multi-factor/lab-2fa-broken-logic二.利用2FA逻辑失效用户登录这里告诉了网站存在双因素认证逻辑缺陷而存在漏洞需要通过wiener的账号访问carlos的账户页面。这里我们进入实验环境发现上面有一个email client。先尝试登录。跳转到了这个页面我们要在这里查看通过wiener登录需要的4为code点击上面的email client。这里告诉code为1155提供可以直接登录wiener。漏洞分析这里已经存在了一个思路是不是我们可以通过修改用户为carlos然后使用这个地址进行收取code进行登录。我们打开burpsuite观察http history观察存在两个登录login和login2。我们仔细观察这两个请求和响应发现login请求之后会返回一个verify和session再login2中会使用这个cookie进行验证。这里我们可以尝试一下少一个verify或者少一个session会出现什么情况。我们发现保留verify和保留session出现了两个不同响应第一个返回302第二个直接返回500。那我们就可以尝试通过仅使用verify修改为carlos进行绕过。这里发现存在返回200并出现你的code错误这样可以证明我们的猜想是正确的接下来就是获取code,但是carlos的邮箱地址我们并不清楚它的code并不会发送在email client里我们就要使用另一种方法就是暴力破解code。漏洞利用先向服务器发送get请求让其对carlos的账户发送code接着我们把请求发送到intruder里。在code那里添加一个payload修改payload类型为数值然后顺序从0到10000这里要注意code最小为4位所以在整数最小位数里要调整为4然后进行攻击。最后找到了一个302请求可以获得它的code为1788随后通过login2的repeater发送请求获得session。通过开发者工具登录接下来就是通过session登录通过页面的开发者工具找到cookie将获取的session修改并删除verify。即可通关。三.小结这个实验这里的逻辑缺陷就是网站它在验证cookie的时候并没有强制验证session只是验证verify通过这里的漏洞执行了一系列操作进行登录他人的账户并且在code密码相对简单的情况下并且没有次数限制可以进行暴力破解。对于这样的防范首先就是先验证用户的session加强code的复杂程度可以进行加密导致不可逆等等方式增加次数限制或者错误次数防止暴力破解使这个逻辑缺陷不被利用。