深入浅出Android应用服务端安全漏洞之越权漏洞、XSS漏洞、业务逻辑漏洞与接口未限制导致撞库漏洞

本次将会继续为大家带来服务端的漏洞,本次介绍的有:越权漏洞、XSS漏洞、业务逻辑漏洞与接口未限制导致撞库漏洞。

越权漏洞

在一个产品中,一个正常的用户A通常只能够编辑自己的信息,别人的信息最多只有查看的权限,但是由于程序不校验用户的身份,A用户更改自己的id值就进入了B用户的主页,可以查看、修改B用户的信息,这种漏洞我们就将其称之为越权漏洞

通过以上的描述,越权漏洞所产生的危害也就不言而喻了,由于可以查看、修改他人信息,信息泄露也就不可避免。

相关案例:

某应用越权登录任意用户账号

修改userId=250723

某直播应用存在越权漏洞

修改uid

黑客可通过漏洞访问Uber优步司机和乘客信息
http://mt.sohu.com/20160625/n456241429.shtml
多款直播App存在越权,可登陆任何主播账号
http://www.wtoutiao.com/p/157Y1Le.html
速8酒店某App存在越权访问导致注册用户敏感信息泄露
http://www.myhack58.com/Article/html/2/5/2015/62129.htm
我买网App越权操作缺陷(删除/修改任意用户信息)
http://www.2cto.com/Article/201312/263864.html
足记App多处越权
http://www.2cto.com/Article/201511/448730.html
海克智动家庭空气指数App越权漏洞,可控制设备
http://www.myhack58.com/Article/html/2/5/2015/66172.htm

XSS漏洞

XSS为跨站脚本攻击(Cross Site Scripting)的缩写,为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。

利用XSS的攻击者进行攻击时会向页面插入恶意Script代码,当用户浏览该页面时,嵌入在页面里的Script代码会被执行,从而达到攻击用户的目的。同样会造成用户的认证信息被获取,仿冒用户登录,造成用户信息泄露等危害。

相关案例

某App存在XSS漏洞

同学我来了App存在XSS漏洞

车来了App客户端XSS漏洞
http://www.2cto.com/Article/201605/509029.html
环信客服系统XSS漏洞影响全国13000多个App
http://www.hackdig.com/06/hack-23189.htm
装小蜜App客户端盲打(已登录CEO后台)
https://www.secpulse.com/archives/45568.html

业务逻辑漏洞

业务逻辑漏洞是指由于程序逻辑不严密或逻辑太复杂,导致一些逻辑分支被绕过或处理错误。常见漏洞包括:任意密码修改(没有旧密码验证)、密码找回漏洞、业务数据篡改等。

业务逻辑漏洞的出现易造成账号被盗、免费购物,游戏应用易造成刷钱、刷游戏币等严重问题。

某银行App修改用户密码

{"PASSWORD":"NewPassword","CUST_NAME":"Name","GLOBAL_TYPE":"1","GLOBAL_ID":"身份证号","TransId":"sx.resetLoginPwd"}

阳光保险App重置任意用户密码

又现刷金币BUG!海岛奇兵双倍兵漏洞百出
http://news.17173.com/z/bb/content/07192016/152133372_1.shtml
“黑客”玩家入侵网游系统 狂刷34亿“金币”
http://games.qq.com/a/20160228/000694.htm#p=1
掌阅读书App账户密码找回绕过/账户信息泄漏/使用他人账户为自己买书等系列问题
http://www.2cto.com/Article/201502/375463.html

接口未限制导致撞库漏洞

撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。

很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。如果撞库攻击成功,那么库中的大量用户就会面临账号被盗取、信息泄露等严重问题。

如优步客户端接口设计不当可导致撞库攻击,黑客可以用遍历手机号的方式来猜测弱密码存在的可能性,也可以根据互联网已经泄露的用户信息进行“撞库”。

男子Uber账号连被盗 “代打车”业务泛滥
http://www.xitongzhijia.net/news/20160704/76592.html

12306手机App的登陆接口存在漏洞,黑客可以轻易绕过其账号安全防护措施,无限次尝试自动登陆。此前网上流传的13万余条12306用户密码都是由黑客“撞库”获取,如此巨大的登陆请求数量,12306都没有及时发现并进行屏蔽。
http://tech.huanqiu.com/news/2015-01/5331047.html

那么到这里,Android应用的APP端和服务端常见的一些漏洞就介绍到这里,作为Android开发者来讲,应该重视起可能出现的这些漏洞,有效的规避它们,除了流畅的功能使用外,给用户一个安全的使用体验也是至关重要的。