HanDs
管理员

BlackHat(世界黑帽大会)官方APP出现两个逻辑漏洞 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

      

  BlackHat大会马上就要举行了,作为全世界最出名的黑帽安全大会,自然受到很多人的关注。Black Hat(世界黑帽大会)2016的APP可以让参与人员查看自己的注册信息,会议安排,消息通知等一系列关于该会议的信息。值得关注的是Black Hat 2016的APP就出现了两个非常奇葩的逻辑漏洞,这两个漏洞在IOS和Android的APP中都可以复现。

  下面,让小编为你解析一下这两个逻辑漏洞。

  漏洞分析

  邮箱重复注册漏洞:

  一般大家在网上通过邮箱注册的时候都会有个验证,主要是用来区别该邮箱是否已经注册过互联网账号,但是Black Hat不按套路出牌啊!假设A用户用自己的邮箱注册了black hat 2016的账号。这个时候,B用户不想掏钱购买大会门票,于是用A用户的邮箱再注册了一个 Black Hat 2016的账号。也就是说,黑客可以利用已经被注册的邮箱账号再注册一遍Black Hat账号。我画一张图给大家演示一下。

  

   1.png

  实际上这个只是举个例子,可以利用这个漏洞的方法还有很多,请大家自行补脑。

  Cookie验证漏洞:

  一般来说,当大家更改密码以后,之前的cookie值是不能够继续使用的,需要用户重新登陆账号。Black Hat对自己的APP安全好像很有信心,所以在用户更改密码后,之前的cookie值还能一直使用。WTF?!没错,就是这样。解释清楚一点就是,假设A的账号被B盗取了,并且登陆在B的手机上。这个时候,A重置了自己的Black Hat账号的密码。但是只要B不退出A的账号,B就可以一直查看A的Balck 账号所有信息。弱弱的问一下Black Hat,APP传输数据的过程中就不能加上session吗?我继续用一张图片演示一下。

  

2.png


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
BlackHat 世界黑帽大会 官方 APP 出现两个逻辑漏洞
#1楼
发帖时间:2016-8-8   |   查看数:0   |   回复数:0
游客组
快速回复