点击蓝字,关注我们哦
背景
背景来北京有一段时间了,作为一个渗透工程师,每天早晚都淹没在茫茫人海中。白天要做日常的渗透工作照顾客户的心情,晚上到家筋疲力尽还要照顾女朋友的心情。女友是java研发方向,平常毫不care生活琐事。他不懂安全,我也不懂研发。虽然都是搞技术,但有时候聊起技术来还真有点尴尬。家里做饭洗衣由我负责(准确的说洗衣服由洗衣机负责。)柴米油盐酱醋茶也自然由我操心。
这两天,家门口开了一家某电商旗下的便利店。琳琅满目,价格实惠。很快被圈粉。后来查查新闻了解一下背景。
相对于大宗购物,该集团旗下便利店直接面向社区市场。在个大小区门口均可以看见。
半年内全国迅速开放了1400家店,来势汹汹,想必研发部门的任务一定不轻松。
再加上使用过程中的一些bug早就让我不爽了。周六日的时候,闲着无聊就随便看了一眼。
以此为前提。
环境搭建
工欲善其事必先利其器。抓包我这里用的是一款手游模拟器。配合代理到burp的抓包进行分析。其实,在自己的手机上装证书挂代理也是可以的,但考虑到自己手机App里面的乱七八糟的App太多,影响结果,另外来回设备切换太麻烦了。
模拟器的抓包与浏览器相同,只需将wifi代理到本机的ip上,然后装好证书即可。
关于安装证书后不生效的问题
安装证书的一个小坑,我抓好证书之后,半天抓不到https的包。所以就很郁闷啊。
各种问题找了半天。最后在证书信息之后发现
证书颁发的时间,要比显示的我的绝对时间早了一天…导致了证书不生效。
解决颁发就是,把模拟器的时间,改到证书的区间,皆可生效。
(该问题出现几率较小,但是如果有这种问题的话,建议还是检查一下证书信息)
关于一些App对抗抓包的行为挂完搭理之后。测试其他App过程中,发现有些App并不能抓包。但是换其他App或浏览器访问是都没有问题的。怀疑是研发人员在App里面做了一些操作。
跟身边的研发大哥聊了聊
因为抓包是需要在手机上的wifi设置一个代理,所以防抓包的的策略就是,在访问数据前加入一个判断,如果手机使用了wifi代理,不访问数据,否则访问。
思路的伪代码如下:
if(isWifiProxy()){ //true,使用了wifi代理
//不做访问操作
}else{ //flase,正常用户,未使用wifi代理
//访问数据
}
具体的实现(如果检测到用户手机开启了wifi代理和端口,则就断开App内部与网络的通讯。来达到防止抓包的目的):
搭建了安卓的一些逆向环境,但具体的还没有去做逆向分析,本篇主要讲的是挖洞的过程,逆向分析不在本篇文章的讨论范围。准备在此之后,专门再出一篇关于安卓逆向的投稿。
漏洞探索
漏洞探索过程还是比较艰辛的,这里贴出来一张图。基本上是我们做渗透测试的一个流程。
过程中挖到了一些PC端的CSRF,但影响不大
发现问题
这时候我使用虚拟机双开,打算拿两个账号试一下,但是一不小心,两个虚拟机一起登录了一个账号。这时候就发现了一些问题....账号允许多ip同时登录,哇,这就属于一个小小的风控问题了,随后我就挂一下外网,一个是日本,一个是北京同时登录
严重的风控风险
一个账号可多设备同时登录都可以正常访问,并且是两个设备的两个不同的ip。这在小厂商里面是很常见的。
但是像这种国内TOP5的电商网站,平台存在大量用户的话,出现这种问题就很严重了。
在接下来的测试中,这两个不同ip登录的设备,可直接打开付款码进行付款,也并没有敏感操作的二次验证等。
如果该账户被盗号后,攻击者可直接线下进行盗刷等行为。
结尾分析
由于线下飞速扩张,线上的项目又急于上线,安全问题被忽略,虽然账户认证部分给了集团的安全部门。防范很严谨。但是其中的一些账户风控就做的很差了。大厂商的很多业务,尤其是急于上线的业务,很困难存在安全风险和安全问题。所以小伙伴们也可以在挖src的时候多多关注新上线的新闻
文章仅用于普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征等,若读者因此作出危害网络安全的行为后果自负,与合天智汇以及原作者无关,特此声明!
