【业务安全-02】业务逻辑漏洞之越权操作

于 2023-03-20 21:48:43 发布
阅读量1.8k 收藏 6
点赞数 2
分类专栏: Web漏洞 文章标签: 业务逻辑漏洞 越权操作 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76334474/article/details/129677293
版权

越权

越权即越权查看被人的信息,又分为水平越权垂直越权,但是两者的本质都是一样的,只是越权的身份权限不一样而已

  • 水平越权:相同级别的用户,如用户A访问用户B

  • 垂直越权:普通用户到管理员,普通用户访问管理员

从上图可以看出权限问题,用户A和用户B都属于普通用户这一权限权限最高的是管理员,所谓的越权关系是指同一权限的关系和高低权限的关系。

如果使用用户A的权限去操作用户A的数据,用户A的权限小于用户B的权限,如果能够成功操作,则称之为越权操作。 越权漏洞形成的原因是后台使用了 不合理的权限校验规则导致的。

一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对 对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。

因此,在在权限管理中应该遵守:

1.使用最小权限原则对用户进行赋权;

2.使用合理(严格)的权限校验规则;

3.使用后台登录态作为条件进行权限判断,别动不动就瞎用前端传进来的条件;

越权的漏洞类型还是挺多的,比如越权查看别人信息,越权修改密码,通过id进行订单遍历等。但是本质都是一样的,都是因为数据包中存在某个参数值,而这个参数值又决定了某个用户的身份。当将其值进行修改,就可以查看到别的用户的信息。

靶场实战

靶场环境:pikachu-master/PHPStudy PHP-5.4.45

最低0.47元/天 解锁文章
百事都可樂.
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
业务逻辑越权
ssrf
02-02 130
PTEye:幻影之眼-一种被动的业务逻辑漏洞审计工具
03-16
PTEye(编码) PTeye(幻影之眼)是一个代理黑匣子审计工具,使用NodeJS结合开源框架(整体框架根据fwon的electronic-anyproxy项目魔改制成 )完成,主要用于插件式的漏洞审计。 PTeye初步设计为使用被动代理+插件的方式重点针对相关突破进行半自动化/被动化的审计。 PTeye允许交流学习使用,请勿使用非法行为。 特征 沿用原项目的网络抓包以及数据拦截修改功能。 完成了简单的报文重置功能。 根据网络抓包可进行重新报文选择。 根据AnyProxy Rule漏洞模块拦截规则编写,Rule规则编写可以参考现有的插件,详细规则可参考 。 module.exports = { // 模块介绍 summary: 'my customized rule for AnyProxy', // 发送请求前拦截处理 *beforeSendRequest(re
从Java的角度简单修复Cookie越权漏洞
weixin_30385925的博客
05-28 1364
    技术实在是有限,讲解cookie越权的时候可能有点简单和粗糙。这里就简单记录学习下。     首先自己写一段存在漏洞的代码code:       sendCookie.java            package cookie; import java.io.IOException; import javax.servlet.ServletException; im...
越权漏洞知识点
qq_58000413的博客
10-01 623
你是一个低权限用户,但是可以进行高权限操作。或者平级操作(用户A->用户B,用户A->管理员)(网站、网页、app)指的是你是低权限用户,通过技术手段提升到高权限(指的是计算机权限 用户权限->管理员权限)抓包传参可在浏览器、app、应用程序(exe)水平越权:同权限账户可以互相影响(A、B)垂直越权:不同权限的账户可以互相影响。交叉权限:即可以垂直又可以水平。1.通过修改GET传参来越权。2.修改POST传参进行越权。3.修改cookie进行越权
业务逻辑漏洞越权
weixin_48421613的博客
12-13 2032
什么是越权越权漏洞成因主要是因为开发过程中对数据增删改查时对客户端没有进行严格的权限判定,导致单个用户可以操作其他用户的一些操作,叫做越权。 换句话来讲就是,A用户与B用户之间可以访问自身的内容(例如个人资料、地址等),由于数据进行查询操作的时候并没有对用户的身份识别进行判断,导致A用户可以越权查看B用户才能看到的内容 水平越权和垂直越权 我们都知道,越权分为水平越权和垂直越权,那么什么是水平越权什么是垂直越权呢? 攻击者能执行与自己同级别的其他用户执行的操作,即尝试访问与它拥有相同权限的用户资源,即.
web安全(5)-- 越权操作
热门推荐
TaneRoom的博客
11-18 2万+
越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。​
越权操作,脱敏操作
kang1011的博客
10-21 392
越权操作 低权限查看或操作高权限的数据 1:查询之前进行权限校验:以内存中的用户为准 2:以当前用户为准,机构或者角色为依据,避免修改参数引起越权, 3: 分层级情况判断,大权限不需处理,小权限需禁止有大权限操作, 4: 服务器端增加校验,并且符合实际业务需求。 建议前后台加密 https://blog.csdn.net/Desiy/article/details/108572361 对敏感数据特殊处理 身份证,手机号,姓名, select concat(left(pno,1),substr('--
藏经阁-典型业务逻辑漏洞挖掘.pdf
09-10
1. 加强安全测试:在开发和测试阶段,加强安全测试,发现和修复业务逻辑漏洞。 2. 加强身份验证:加强用户身份验证,防止身份盗取和越权操作。 3. 限流和限次:对系统的请求和操作进行限流和限次,防止资源消耗和...
业务逻辑漏洞(简)_V1.3.xlsx
05-14
由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为 业务逻辑漏洞越权漏洞分为水平越权漏洞和垂直越权漏洞, 水平越权指原相同等级权限的用户,A用户可以查看或操作到B用户的私有...
业务逻辑漏洞(详)_V1.2.xlsx
05-14
越权漏洞分为水平越权漏洞和垂直越权漏洞, 水平越权指原相同等级权限的用户,A用户可以查看或操作到B用户的私有信息。 垂直权限指不在同权限等级的用户,低权限等级的用户可以查看或操作高权限等级的私有信息
010-Web安全基础6 - 访问控制漏洞.pptx
10-11
越权漏洞属于逻辑漏洞。利用业务逻辑在程序中体现时,仅仅限制于用户点击。 Web应用程序接收到用户请求,修改某条数据时,没有判断数据的所属人,或者在判断数据所属人时从用户提交的表单参数中获取了用户信息,导致...
【水平越权】TinyShop_v1.1.zip
01-05
【水平越权】TinyShop_v1.1.zip 是一个针对业务逻辑漏洞——水平越权的渗透测试靶场。水平越权是指在同一个权限级别内的用户能够访问或操作其他同级用户的资源,这通常源于系统权限控制机制的缺陷。在这个靶场中,...
10.越权
qq_45926195的博客
10-31 213
10.1越权原理及概述 如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作越权漏洞形成的原因是后台使用了不合理的权限校验规则导致的。 10.2 如何挖掘越权漏洞 一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。 10.3越权分类 平行越权:A用户和B用户属...
业务逻辑漏洞之水平越权和垂直越权
WangYouJin321的博客
10-10 1115
实际上并没有对后端的进行一个权限过滤,只是对前端进行隐藏。根据用户权限的判断,进行选择显示,但是功能点还是可以触发。浏览器对用户提交的数据请求没有经过严格的权限设置,导致用户可以拥有观察或更改其他用户信息的功能。很多业务为了更快的对前端请求作出响应,很多东西放在内存里面,如redis,这个是没有问题的。水平越权 :用户在权限相同级别下的组,可以进行越权访问、修改、删除数据。垂直越权 :用户在不同权限下的组,可以进行高级别的权限使用。正确的做法应该是用户权限与功能点进行绑定。只对页面进行更高权限的隐藏。
越权漏洞介绍
Williamanddog的博客
02-03 669
越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围 广、危害大,被OWASP列为Web应用十大安全隐患的第一名。 该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限 检查,访问或者操作其他用户或者更高权限。 越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而 遗漏了权限的判定。 。
越权查询风险
julielele的博客
06-23 426
越权查询风险
Webug4.0 越权查看admin
angry_program的博客
01-16 399
前言 通过普通用户登录, 查看admin用户的信息 实战 先看看登录的用户: 正常登录普通用户aaaaa: 发现有一个id参数对应, 分析: 能不能通过修改登录时候的id值来越权登录其他用户呢? 看到用户名和密码, forward登录 登录之后, 发现又有一个id参数值的请求....这个id请求源自于上一个页面(漏洞产生...
越权访问
德盖尔芒特公爵的博客
10-16 272
问题:a的电话号加b的id,可以查到b的信息     越权访问 解决:在数据库中加个userphone,根据userphone查询 但是2个人同时登录还有问题     前端传过来的参数和redis中的比对, 解决:加个token ?...
MindeNLP+MusicGen-音频提示生成
最新发布
07-03
MindeNLP+MusicGen-音频提示生成
说一下常见的业务逻辑漏洞或者挖到过的业务逻辑漏洞订单查询怎么利用业务逻辑漏洞
05-24
常见的业务逻辑漏洞包括但不限于: 1. 越权操作:攻击者可以通过修改请求参数、伪造请求头等方式,绕过身份验证机制,直接访问或操作不应该被授权的资源。 2. 注入漏洞:攻击者可以在输入框中注入恶意脚本或代码,从而实现执行恶意代码、获取敏感信息等攻击行为。 3. 逻辑漏洞:攻击者可以通过修改请求参数或绕过某些检查机制,绕过一些逻辑限制,实现非法操作或获取敏感信息。 4. 会话管理漏洞:攻击者可以通过盗用或伪造会话标识符,获得合法用户的权限,进而进行非法操作。 订单查询这个功能存在的业务逻辑漏洞可能包括: 1. 越权查询:攻击者可以通过修改订单查询接口的请求参数,获取其他用户的订单信息,包括订单号、订单金额、收货地址等。 2. 盲注漏洞:如果订单查询接口没有对查询参数进行严格的输入验证和过滤处理,攻击者可以在查询参数中注入恶意SQL语句,从而实现访问或操作数据库的攻击行为。 3. 订单状态篡改:攻击者可以通过修改订单查询接口的请求参数,伪造已支付或已发货的订单状态,从而实现对订单的非法操作,例如恶意退款、虚假评价等。 攻击者可以通过利用这些漏洞,获取敏感信息、盗取资金、篡改订单等,给用户和企业带来损失。因此在开发过程中,需要对业务逻辑进行彻底的审计和测试,尽可能避免漏洞的产生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值