WooYun Zone镜像——二维码应用漏洞|欺骗|....更多好玩的???
最近一直在研究二维码,因为从生活到虚拟,很多地方都用到了二维码
今天去超市买东西,刷码结帐的时候,某个东西(饼干),刷不到
收款员的机器上写着PRODUCT “123456”(假设是这个吧) NOT FOUND!
于是万恶的跳跃性思维想到了
select * from `products` where `barcode`='123456'
于是更万恶的黑阔细胞想到了
假设二维码的值是
123456';update `products` set `price` = '1.00'
会怎么样呢,回到家火速查阅了相关的资料,发现是不可能实现的
翻了百科,超市的一般用EAN13码
又翻了翻维基百科,发现没表明是否只支持数字,不过英文版的有 total of 14 or 17 data digits
这尼马就但疼了,于是又有个猥琐的想法
假设自己带个二维码贴纸,把商品的二维码覆盖进去呢?
呵呵呵,呵呵呵。。。。
还有有时候剪票的时候也用到二维码,上次去看演出,有个怪蜀黎拿着一个枪检票就是有个类似二维码的(其实就是二维码),然后一个票只能用一次
解码出来就是那串数字,感觉同样可以造成欺骗,但是无法太严重后果,因为只能输入数字型
在google查了查有没有相关案例,发现乌云上有
现在二维码应用用的很多了,比如某饭店的刷卡机,用QR码制造XSS然后退出沙盒
感觉有点类似物联网安全的问题了
下面来讨论下更多好玩的呢?
(站长注:由于原作者对条形码知识不熟悉,导致将一维条形码误写为二维条形码,文中及图片指的是一维条形码,一维条形码(一维码)与二维条形码(二维码)统称为条形码。)
1#
xsser (十根阳具有长短!!) | 2013-02-21 11:44
NICE! 希望可以在乌云上看到案例 嘿嘿嘿!
2#
小胖子 (z7y壮士,来,干了这碗酒!) | 2013-02-21 11:50
这个黑盒测试很难啊,把整个超市一起买完了都还没猜出价格字段~
3#
无敌L.t.H | 2013-02-21 13:03
试过大润发查价格的,只支持EAN13,用条形码生成器可以弄白屏,但是不会出错。
4#
猫大叔 | 2013-02-21 13:20
一个是价格 另还有扫描后自动下载.觉得也是可以利用上的.
5#
明. | 2013-02-21 13:31
@safe121 如果按照你说法 “假设自己带个二维码贴纸,把商品的二维码覆盖进去呢? ”
给个更好的思路你要吗?楼主。 把便宜的货物的二维码 直接覆盖到贵的哪里去。就可以用便宜的价格买到贵的货物。
6#
safe121 (http://zone.wooyun.org/?do=action&act=thankcontent&id=633) | 2013-02-21 14:36
@明. 但是也得靠谱点,别买个可乐,一扫成薯片了。。
7#
xsser (十根阳具有长短!!) | 2013-02-21 14:47
@明. ......
8#
路人甲 (GangnamStyle) | 2013-02-21 16:02
test
9#
icysun | 2013-02-21 17:55
楼主思维太猥琐了
10#
liyang (铁道游击队队长) | 2013-02-21 18:10
记得见过一个人在试卷答题卡上涂黑特定的区域然后攻击读卡器,当然只是娱乐一下了~~
11#
xsjswt | 2013-02-21 19:03
@clozure 还记得我上次抓绘条形码么
12#
明. | 2013-02-22 00:37
@safe121
这是最现实的一种方法,不用猜字段 排序 就算你猜出字段 排序,
还有 很多其他的问题。所以所 “黑盒测试” 不太现实,拿现成的比较现实一点。
13#
路人甲 (GangnamStyle) | 2013-02-22 03:49
@明. 是啊,不过这样总感觉有点蛋疼。。。
14#
狸先生 | 2013-02-22 08:22
我只图过急机读卡冲突
15#
y35u (www.3hack.com(速度围观)) | 2013-02-22 16:46
@小胖子 高
————————————————————————————————————————————————
留言评论(旧系统):
小明 @ 2013-02-23 00:44:41
.这叫条码,不是二维码!!!!还有就是可以条码可以识别任意字符.包括星号.枪也带有此功能.只要能解析ean13的枪...
本站回复:
名字写错,那是作者不懂,读者明白就可以了,意思一下即可。 管你什么字符,如果解读程序限制字符集,有毛用。
佚名 @ 2013-02-23 17:46:57
我的想法是,1和l,扫描器都会将它识别为1。所以不会有什么注入,特殊字符只会产生识别错误,当然偶没实验过,只是猜测
本站回复:
不会这么识别的,虽然你可以使用任何字符生成条形码,但如果解读程序设定了字符集,非该字符集的字符一律认为无效,就没啥用了。
佚名 @ 2013-02-23 19:48:32
偶的表达竟然如此差劲...偶要说的就是那个意思
本站回复:
lol...