【软件安全】一次投票活动带来的反思
作为一个开发人员,软件可用是最低要求,软件的健壮则是更高的要求,软件安全很多时候基本等于0。绝大多数企业的应用,都会忽略软件安全的因素,看不见的地方有时候才是真实的。
抽丝剥茧
投票页面:
遍历会员数量
通过跟踪Ajax请求,发下提交之后,触发ajax
submit?mid=314925&set=2&DATA=85%7C0&voteId=85&voteCateIds=0
修改其中的mid返回以下内容
{"data":null,"message":"会员信息不存在!","status":"FAILURE"}
通过遍历mid,可以遍历出他的会员数量!
刷票
原理和上面是一样的,我们修改mid之后,就可以伪造投票
网站架构
修改网址之后,返回404
JFINAL 1.6 这应该是个框架,经过查阅资料,发现这是个java框架,这时候事情就好办多了,我们稍微了解框架,就能获得这个后台页面的登陆地址。
获取网站数据
获得系统权限之后,事情就很简单了,系统总会要展示数据给前端,这时候基本就是ajax请求,我们看看他们的请求格式:
admin/member/list?sEcho=3&iColumns=12&sColumns=&iDisplayStart=0&iDisplayLength=14122&mDataProp_0=0&mDataProp_1=1&mDataProp_2=id&mDataProp_3=name&mDataProp_4=id_card&mDataProp_5=gender&mDataProp_6=card_no&mDataProp_7=birth&mDataProp_8=phone&mDataProp_9=&mDataProp_10=status&mDataProp_11=&iSortCol_0=0&sSortDir_0=asc&iSortingCols=1&bSortable_0=false&bSortable_1=false&bSortable_2=true&bSortable_3=true&bSortable_4=true&bSortable_5=true&bSortable_6=true&bSortable_7=true&bSortable_8=true&bSortable_9=false&bSortable_10=true&bSortable_11=true&name=&card_no=&phone=&_=1502437850901
重要的是这个字段
iDisplayStart=0&iDisplayLength=14122
他请求的是长度,我们可以通过修改iDisplayLength,获取所有资料。返回的数据包含了用户id,用户姓名,手机号,生日,地址,基本就是数据库所有字段了,开发根本没有做过滤!
可能他的SQL语句是这样:
SELECT * FROM table WHERE ID=id
数据分析
获取手机号之后,可以进行数据的分析,很容易看出这个活动的效果。
根据手机号获取归属地
https://github.com/SuperID/query-mobile-phone-area
根据归属城市获取地理坐标
https://github.com/lifebeatiful/lat_long_of_major_china_city
数据可视化
根据以上内容,结合百度的echarts,就可以实现数据的可视化!
fake
在查看数据的过程中,发现了大量的这样的数据
嘿嘿,原来虚假投票已经大量的开始了。
总结
产品的开发总是困难的,从想法到实现,总是一段漫长的旅程,我们在实现产品的同时,也要充分考虑安全的因数,特别是这种面向外部的系统~
