[月餅向]論漏洞和自動化腳本的區別
什麼是漏洞?
我先抄一段百度百科。漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。
漏洞是指一個系統存在的弱點或缺陷,系統對特定威脅攻擊或危險事件的敏感性,或進行攻擊的威脅作用的可能性。漏洞可能來自應用軟體或操作系統設計時的缺陷或編碼時產生的錯誤,也可能來自業務在交互處理過程中的設計缺陷或邏輯流程上的不合理之處。這些缺陷、錯誤或不合理之處可能被有意或無意地利用,從而對一個組織的資產或運行造成不利影響,如信息系統被攻擊或控制,重要資料被竊取,用戶數據被篡改,系統被作為入侵其他主機系統的跳板。
摘取其中的三個關鍵點:
1、系統缺陷
2、能被未授權利用
3、利用後能達到某種目的或效果
我們來舉幾個利用漏洞買月餅的思路(漏洞實例與截圖均來自於互聯網):
1、篡改金額
實例:某平台訂單支付時的總價未驗證漏洞(支付邏輯漏洞)
很多系統在設計的時候,未對商品的價格進行校驗。導致你提交的購買的http包內說這個商品價格多少錢,系統就會認為這個商品多少錢。從而造成漏洞。
比如說,你在某個平台購買了一個商品,價值21元,然後點擊確認,會跳轉到第三方平台進行支付。
在這個跳轉的過程中,截獲http包,在數據包中找尋代表金額價格的參數欄位,修改參數值,比如改為1。
https://qr.alipay.com/pmq4i2g7rzhxp02h1e (二維碼自動識別)
2、篡改商品編號
實例:某積分商城支付漏洞再繞過
比如說現在商城有好多種商品,有的隨便什麼人都可以買,有的需要註冊會員可以買,那麼這種情況下,如果系統許可權校驗的不好,那麼我就可以通過在商城中買low點的商品,然後截獲網路包,在網路包中更改商品類型,把low的商品改成高級的商品,從而繞過普通人不能購買高級商品的限制。
在商城中看中了一個高級的滑鼠,但是需要30積分
3、業務亂序,繞過支付步驟
實例:某分站邏輯錯誤可繞過支付直接獲得取票密碼
比如說,一次正確的購買步驟包括:
1、提供相關信息,包括賬號,商品
2、進行支付
3、支付成功,返回交易憑證。
如果業務邏輯處理的不好,第三步返回交易憑證的時候,系統沒有對支付是否成功進行校驗,那麼就可以構造數據包,直接跳過支付過程,獲取交易的憑證。
在系統上購買了兩張電影票
截包,修改欄位,跳過支付步驟
凡是利用支付漏洞或者業務邏輯漏洞來獲利的情形,必然都會滿足系統本身存在缺陷,利用過程存在未授權情況,利用者通過使用缺陷獲利或達到目的這三個特徵。
那麼什麼是自動化腳本呢?
自動化腳本,就是通過編寫代碼,將本來需要認為進行的重複操作,通過代碼來自動進行。它在很多情況下,是不涉及系統缺陷的利用的,只是將人需要進行的手工操作,通過機器來進行了自動化而已,是程序猿提高日常工作效率的一種常見手段。
比如:
老闆讓我給他一個從0計數到1000的文件,我當然不可能1,2,3…一個數字一個數字打進去,那得打到什麼時候啊,我肯定用程序循環遞增然後把結果寫入文件。
with open(result.txt,wb)as f:ntfor i in range(1,1001):n f.write(str(i)+n)n
這就可以稱得上是自動化腳本了!涉及漏洞嗎?不涉及!涉及系統缺陷嗎?不涉及!他只是程序猿通過編碼,讓機器代替人手動的重複工作而已!
再比如,我想每天儘早的看到了輪子哥今天帶逛了什麼內容,我當然不可能時時刻刻的去刷輪子哥的timeline對不對?那我可以寫個代碼啊,每10分鐘去抓一次輪子哥主頁的內容,看看有沒有更新,如果有,看看更新里有沒有圖片,如果有圖片,把圖片存下來,並且給我發送提醒。(下個月有空了真可以考慮開發一個。。)
這叫自動化腳本!它的本質是通過代碼讓機器代替人工!
科普完了,說點感想,以下感想均為個人看法,不代表團隊觀點,請勿曲解。
我覺得,現在大眾的眼中,安全人員被妖魔化了,一看到安全人員就會覺得渾身緊張,彷彿安全人員動不動就能盜刷你銀行卡,看你微信,霸你房產,搶你老婆。所以啊,恨不得你們這群人都被栓的死死的才好,這樣我才能人財「安全」。
那麼為什麼會出現這種偏見呢,還是安全常識及相關知識普及的不夠。因為不懂,所以神秘,因為不懂,所以恐懼。
我覺得安全從業者們可以通過不同的平台,對大眾進行一些深入淺出的安全科普,提高大眾的安全意識和認知,增進普通人對信息安全的了解。
我也想繼續通過大事件這個平台,做一點微小的科普工作,不足的地方,還請大家指正。
祝大家中秋快樂!
推薦閱讀: