[[172436]]

什么是漏洞?

我先抄一段百度百科。

漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。

摘取其中的三個(gè)關(guān)鍵點(diǎn)：

1、系統(tǒng)缺陷

2、能被未授權(quán)利用

3、利用后能達(dá)到某種目的或效果

我們來(lái)舉幾個(gè)利用漏洞買月餅的思路(漏洞實(shí)例與截圖均來(lái)自于互聯(lián)網(wǎng))：

1、篡改金額

實(shí)例：某平臺(tái)訂單支付時(shí)的總價(jià)未驗(yàn)證漏洞(支付邏輯漏洞)

很多系統(tǒng)在設(shè)計(jì)的時(shí)候，未對(duì)商品的價(jià)格進(jìn)行校驗(yàn)。導(dǎo)致你提交的購(gòu)買的http包內(nèi)說(shuō)這個(gè)商品價(jià)格多少錢，系統(tǒng)就會(huì)認(rèn)為這個(gè)商品多少錢。從而造成漏洞。

比如說(shuō)，你在某個(gè)平臺(tái)購(gòu)買了一個(gè)商品，價(jià)值21元，然后點(diǎn)擊確認(rèn)，會(huì)跳轉(zhuǎn)到第三方平臺(tái)進(jìn)行支付。

在這個(gè)跳轉(zhuǎn)的過(guò)程中，截獲http包，在數(shù)據(jù)包中找尋代表金額價(jià)格的參數(shù)字段，修改參數(shù)值，比如改為1。

如果系統(tǒng)未做校驗(yàn)，那么最終支付的價(jià)格就是1，也就是你可以花一塊錢，買到21塊甚至更高價(jià)格的商品。最終支付的價(jià)格你也可以改成0，甚至改成負(fù)數(shù)，有的系統(tǒng)做的不好，在用系統(tǒng)幣購(gòu)買東西的時(shí)候?qū)⒔痤~改成負(fù)數(shù)，反而會(huì)造成你賬號(hào)內(nèi)的余額增加的情況。

https:// qr.alipay.com/pmq4i2g7r zhxp02h1e (二維碼自動(dòng)識(shí)別)

2、篡改商品編號(hào)

實(shí)例：某積分商城支付漏洞再繞過(guò)

比如說(shuō)現(xiàn)在商城有好多種商品，有的隨便什么人都可以買，有的需要注冊(cè)會(huì)員可以買，那么這種情況下，如果系統(tǒng)權(quán)限校驗(yàn)的不好，那么我就可以通過(guò)在商城中買low點(diǎn)的商品，然后截獲網(wǎng)絡(luò)包，在網(wǎng)絡(luò)包中更改商品類型，把low的商品改成高級(jí)的商品，從而繞過(guò)普通人不能購(gòu)買高級(jí)商品的限制。

在商城中看中了一個(gè)高級(jí)的鼠標(biāo)，但是需要30積分

積分不夠，無(wú)法購(gòu)買，先買一個(gè)低積分的商品，然后修改商品id，換成鼠標(biāo)的id

購(gòu)買成功。

3、業(yè)務(wù)亂序，繞過(guò)支付步驟

實(shí)例：某分站邏輯錯(cuò)誤可繞過(guò)支付直接獲得取票密碼

比如說(shuō)，一次正確的購(gòu)買步驟包括：

1、提供相關(guān)信息，包括賬號(hào)，商品

2、進(jìn)行支付

3、支付成功，返回交易憑證。

如果業(yè)務(wù)邏輯處理的不好，第三步返回交易憑證的時(shí)候，系統(tǒng)沒(méi)有對(duì)支付是否成功進(jìn)行校驗(yàn)，那么就可以構(gòu)造數(shù)據(jù)包，直接跳過(guò)支付過(guò)程，獲取交易的憑證。

在系統(tǒng)上購(gòu)買了兩張電影票

截包，修改字段，跳過(guò)支付步驟

直接跳回到取票頁(yè)面

凡是利用支付漏洞或者業(yè)務(wù)邏輯漏洞來(lái)獲利的情形，必然都會(huì)滿足系統(tǒng)本身存在缺陷，利用過(guò)程存在未授權(quán)情況，利用者通過(guò)使用缺陷獲利或達(dá)到目的這三個(gè)特征。

那么什么是自動(dòng)化腳本呢?

自動(dòng)化腳本，就是通過(guò)編寫代碼，將本來(lái)需要認(rèn)為進(jìn)行的重復(fù)操作，通過(guò)代碼來(lái)自動(dòng)進(jìn)行。它在很多情況下，是不涉及系統(tǒng)缺陷的利用的，只是將人需要進(jìn)行的手工操作，通過(guò)機(jī)器來(lái)進(jìn)行了自動(dòng)化而已，是程序猿提高日常工作效率的一種常見(jiàn)手段。

比如：

老板讓我給他一個(gè)從0計(jì)數(shù)到1000的文件，我當(dāng)然不可能1,2,3…一個(gè)數(shù)字一個(gè)數(shù)字打進(jìn)去,那得打到什么時(shí)候啊，我肯定用程序循環(huán)遞增然后把結(jié)果寫入文件。

with open('result.txt','wb')as f: for i in range(1,1001): f.write(str(i)+'\n')

這就可以稱得上是自動(dòng)化腳本了!涉及漏洞嗎?不涉及!涉及系統(tǒng)缺陷嗎?不涉及!他只是程序猿通過(guò)編碼，讓機(jī)器代替人手動(dòng)的重復(fù)工作而已!

再比如，我想每天盡早的看到了輪子哥今天帶逛了什么內(nèi)容，我當(dāng)然不可能時(shí)時(shí)刻刻的去刷輪子哥的timeline對(duì)不對(duì)?那我可以寫個(gè)代碼啊，每10分鐘去抓一次輪子哥主頁(yè)的內(nèi)容，看看有沒(méi)有更新，如果有，看看更新里有沒(méi)有圖片，如果有圖片，把圖片存下來(lái)，并且給我發(fā)送提醒。(下個(gè)月有空了真可以考慮開(kāi)發(fā)一個(gè)。。)

這叫自動(dòng)化腳本!它的本質(zhì)是通過(guò)代碼讓機(jī)器代替人工!

科普完了，說(shuō)點(diǎn)感想，以下感想均為個(gè)人看法，不代表團(tuán)隊(duì)觀點(diǎn)，請(qǐng)勿曲解。

我覺(jué)得，現(xiàn)在大眾的眼中，安全人員被妖魔化了，一看到安全人員就會(huì)覺(jué)得渾身緊張，仿佛安全人員動(dòng)不動(dòng)就能盜刷你銀行卡，看你微信，霸你房產(chǎn)，搶你老婆。所以啊，恨不得你們這群人都被栓的死死的才好，這樣我才能人財(cái)“安全”。

那么為什么會(huì)出現(xiàn)這種偏見(jiàn)呢，還是安全常識(shí)及相關(guān)知識(shí)普及的不夠。因?yàn)椴欢陨衩?，因?yàn)椴欢钥謶帧?/p>

我覺(jué)得安全從業(yè)者們可以通過(guò)不同的平臺(tái)，對(duì)大眾進(jìn)行一些深入淺出的安全科普，提高大眾的安全意識(shí)和認(rèn)知，增進(jìn)普通人對(duì)信息安全的了解。

我也想繼續(xù)通過(guò)大事件這個(gè)平臺(tái)，做一點(diǎn)微小的科普工作，不足的地方，還請(qǐng)大家指正。