原标题:一个小小登录框暴露出諸多漏洞:记对某系统的安全检查和漏洞验证
公司欲引进某业务系统在引进之前,需进行软件系统的安全检查该系统为B/S架构,我们使鼡AWVS对其进行漏洞扫描发现了11个高危漏洞,并要求供应商按漏洞报告给予修复但得到了对方技术人员的回复是,他们认为系统没有任何問题并且他们的系统在行业中已经得到广泛的应用,广大客户也并无反馈有什么安全问题无奈之下,我们只好一一验证这些漏洞并截图再次提交给软件供应商。对方终于无话可说但由于该软件框架较老,很多组件也还是使用老旧版本升级改造过程较为困难,在经過1个月的修复后也只是修复了其中的一部分。
以下仅对登录页面开展漏洞检查和验证过程
1、SQL注入利用,绕过密码校验和直接以超级管理员身份进入系统。
2、利用BurpSuite的Repeater模块进行重放攻击发现同一验证码可重复使用,即服务端对验证码的有效性校验和存在漏洞
3、抓取登錄报文,发现客户端的账号密码都是明文传输
4、SQL错误信息暴漏给了客户端,从中可以发现该系统是用J***A语言编写的采用Hibernate框架。最重要的昰发现了用户表的密码,采用了编码储存这就相当于是明文密码,一旦被拖库黑客可不花灰吹之力就拿到所有的明文账号密码。
5、XSS漏洞利用允许执行任意脚本。用户名构造为tsnugmes_;alert(1);"可以看到执行了alert脚本。
由此可见提高软件开发人员特别是软件架构师的安全意识和技能,是非常有必要的!