分享一次水平越权漏洞测试过程

最新推荐文章于 2024-04-18 21:30:23 发布
最新推荐文章于 2024-04-18 21:30:23 发布
阅读量1.5k 收藏 22
点赞数 24
分类专栏: IT 软件测试 程序员 文章标签: 单元测试 软件测试 python 功能测试 自动化测试 java 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AI_Green/article/details/134596539
版权
软件测试 同时被 3 个专栏收录
1873 篇文章 105 订阅
订阅专栏
程序员
1851 篇文章 51 订阅
订阅专栏
IT
1221 篇文章 21 订阅
订阅专栏

一、背景

AI视频客服系统是运营商事业部数字公众业务部的产品,随着虚拟数字人技术的兴起,AI视频客服也越来越受运营商的重视,目前我们的产品已运用于电信和移动公司,同时带来的安全问题也越来突出,作为本产品的测试负责人,我义无反顾地肩负起产品的安全测试任务。

视频客服系统业务逻辑中存在相同角色的多个二级组织,不同组织之间的数据相互隔离,这就使得存在水平越权的可能。公司小安平台目前支持web系统的安全扫描,但针对越权这一块漏洞,小安平台仅能检测出未授权访问的漏洞,而对垂直越权和水平越权无法进行检测,这就需要人工进行检测。

本案例是分享在web系统安全测试过程中如何一步步挖掘发现水平越权漏洞的过程,供初入安全测试的同事们学习参考!

二、越权漏洞介绍

1、什么是越权漏洞?

越权漏洞是指应用程序未对当前用户操作的身份权限进行严格校验,导致用户可以进行超出自己权限范围的操作。简单来说,就是攻击者可以做一些本来不该他们做的事情(增删改查)。

2、越权漏洞成因是什么?

越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查时,对客户端请求的数据过分相信而遗漏了权限的判定。

3、什么是水平越权?

发生在具有相同权限级别的用户之间。攻击者通过利用这些漏洞,访问其他用户拥有的资源或执行与其权限级别不符的操作。

4、什么是垂直越权?

发生在具有多个高低权限级别的系统中。攻击者通过利用这些漏洞,从一个低权限级别跳转到一个更高的权限级别。例如,攻击者从普通用户身份成功越权成为管理员。

5、越权漏洞的危害有哪些?

  • 数据泄露:攻击者可以通过越权访问敏感数据,如个人信息、财务数据或其他敏感数据。这可能导致违反隐私法规、信用卡信息泄露或个人身份盗用等其它安全问题。

  • 权限提升:攻击者可以利用越权漏洞提升其权限级别,获得系统管理员或其他高权限用户的特权。这可能导致对整个系统的完全控制,并进行更广泛破坏力更大的恶意活动。

三、漏洞挖掘经过

思路

通过页面接口请求发现渠道管理菜单下,渠道的开通和关闭仅是通过参数channelId和channelStatus传参给服务端来改变,故考虑初步尝试将channelId修改成其它二级组织账号的channelId,来验证是否可以请求成功,如果请求成功说明存在水平越权。

图片

步骤

1、登录二级组织A账号(zjyd01),按F12调出开发者模式,进入渠道管理页面,看到所有渠道均是开通状态,在/channels接口返回的响应中可以看到所有的渠道id,本案例中我们选取渠道名称是"测试2"的渠道来进行验证,渠道id为16277653136102571(先在记事本中保存此id)。

图片

2、退出二级组织A(zjyd01)的账号,使用二级组织B(jsyd01)登录平台,访问平台的渠道管理页面。

图片

3、然后打开Burpsuite工具proxy菜单下的“Intercept is on”开关,将浏览器设置通过代理访问。在视频客服平台的渠道管理页面点击关闭某个渠道,切换至Burpsuite工具的proxy页面,将看到成功抓取二级组织B(jsyd01)关闭渠道的请求包。

图片

  • 请求参数中channelStatus为0将是关闭渠道,为1是开通渠道

4、在上面这个页面单击右键,点击Send to Repeater,然后进入Repeater菜单页面。

图片

图片

5、将保存在记事本的二级组织A(zjyd01)的"测试2"渠道id"16277653136102571"替换请求中接口路径和body参数中的channelId,然后点击"Go"。接下来就是见证奇迹的时刻……

图片

6、接口虽然返回成功,但秉着严谨的原则,我们还是在视频客服平台切换至二级组织A(zjyd01)登录页面,来实际看一下吧

图片

至此,可以确定此处确实存在水平越权安全漏洞

作为测试人员,我一直牢记"发现了bug的地方就有可能存在更多的bug",于是我又对渠道的编辑和删除进行了验证,果然不出所料,都存在水平越权漏洞(方法完全一样,此处不再详细描述)。

四、漏洞修复验证

1、先使用二级组织A(zjyd01)账号登录视频客服平台,进入渠道管理菜单页面,重新打开"测试2"渠道开关。

图片

2、退出二级组织A(zjyd01)账号,切换二级组织B(jsyd01)账号登录系统。进入渠道管理页面,使用Burpsuite开启拦截,浏览器开启Burpsuite代理访问,在视频客服平台页面操作关闭渠道,通过Burpsuite进行抓包,并点击右键,选择Send to Repeater。

图片

3、再次将请求包接口路径和body参数中ChannelId"16202530023041303"修改为二级组织A(zjyd01)"测试2"渠道的id"16277653136102571",点击"Go"。接口请求失败(开发修复逻辑是将用户id和资源id进行了绑定,解决了水平越权问题)

图片

4、返回视频客服平台,使用二级组织A(zjyd01)登录系统,查看渠道管理页面,"测试2"渠道没有被关闭,水平越权已修复。

图片

同样,验证渠道管理中的编辑和删除,水平越权漏洞均已不存在,至此,水平越权漏洞已修复完毕。

五、总结

1、一般越权漏洞容易出现在需要校验权限才能进入的系统,当用户在页面内进行增、删、改、查操作时,后台需要对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。
2、当一个模块中某一个操作存在权限校验不当导致的越权漏洞时,这个模块很可能其它操作也会同样存在越权漏洞。

行动吧,在路上总比一直观望的要好,未来的你肯定会感谢现在拼搏的自己!如果想学习提升找不到资料,没人答疑解惑时,请及时加入群: 786229024,里面有各种测试开发资料和技术可以一起交流哦。

最后: 下方这份完整的软件测试视频教程已经整理上传完成,需要的朋友们可以自行领取【保证100%免费】在这里插入图片描述
软件测试面试文档
我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

软件测试君
关注
  • 24
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
水平越权漏洞检测的探索及实践.pdf
03-26
水平越权漏洞检测的探索及实践 业务类漏洞发现能力建设思路
Web 攻防之业务安全:越权访问漏洞 测试.
网络安全领域___专研者.
03-23 7862
逻辑漏洞越权 概括: 由于没有对用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)范围内的操作。(比如:通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据。 使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。 通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作)
BurpSuite2023测试越权漏洞
weixin_44707404的博客
06-09 2154
安装成功后图标。
接口越权测试工具类
最新发布
qq_42553504的博客
04-18 120
【代码】接口越权测试工具类。
安全测试越权测试
人生苦短,何妨一试
07-22 522
在进行越权测试时,测试人员会尝试通过不合适的方式访问系统内的资源,以检验系统是否可以成功阻止这些未经授权的访问。:如果应用成功地阻止了访问,那系统应对此进行相应的响应,如返回"403 Forbidden"错误信息。:在进行测试之前,测试人员需要了解应用程序是如何验证用户访问权限的。例如,在一个银行应用中,用户A试图访问用户B的帐户信息。:之后,测试人员会尝试访问他们不应该能访问的资源。安全性是任何系统的核心要素,通过进行越权测试,我们可以更好地保障系统的安全性,防止未经授权的访问。
BurpSuite越权测试
Coast的博客
07-27 5610
越权测试;BrupSuite;抓包
越权测试是什么?
sunshine__sun的博客
02-06 363
垂直越权:由于后台应用没有做权限控制,或仅仅在菜单、按钮上做了权限控制,导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的,例如:通一个公司不同权限的管理员A和B,通过修改请求,管理员A可以修改不在他管辖范围内的信息;水平越权:由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞,例如:2个不同的公司A和B,通过修改请求,公司A可以任意修改B公司的信息;越权分为2种:水平越权和垂直越权
越权漏洞简介及靶场演示
seek_2022的博客
06-04 4912
信息安全行业关于权限有两个常见的概念,一个叫越权,一个叫提权。提权指的是低权限的用户通过技术手段提升到高权限的用户。(权限一般是指计算机权限,提权是指从用户权限提升到管理员权限)。越权一般是指低权限用户进行高权限的操作或平级操作,越权漏洞出现的地方一般以网页、app为主。 越权漏洞是一种很常见的逻辑安全漏洞。是由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能,从而导致越权漏洞。 ...
渗透测试-越权漏洞之垂直越权水平越权
lza20001103的博客
05-04 9794
越权漏洞之垂直越权水平越权
业务逻辑漏洞水平越权和垂直越权
m0_51822230的博客
04-23 6762
越权漏洞原理 浏览器对用户提交的数据请求没有经过严格的权限设置,导致用户可以拥有观察或更改其他用户信息的功能。 越权漏洞被分为两类 一类是水平越权,一类是垂直越权水平越权 :用户在权限相同级别下的组,可以进行越权访问、修改、删除数据。 垂直越权 :用户在不同权限下的组,可以进行高级别的权限使用。 漏洞成因 前端原因: 只对页面进行更高权限的隐藏 实际上并没有对后端的进行一个权限过滤,只是对前端进行隐藏。根据用户权限的判断,进行选择显示,但是功能点还是可以触发。 正确的做法应该是用户权限与功能点进行绑定。
渗透测试水平越权靶场(商城购物)
02-19
渗透测试专用的水平越权靶场(商城购物),内包含两种典型漏洞共研究。
网络安全之垂直越权漏洞讲解.mp4
11-13
越权漏洞一般包括平行越权和垂直越权。对平行越权漏洞防护中,增加访问与操作对象的用户属性,在对目标对象进行访问与操作时,服务端校验会话与对象的用户属性,在校验通过后才能执行读取和操作。
33 WEB漏洞-逻辑越权水平垂直越权全解-附件资源
03-02
33 WEB漏洞-逻辑越权水平垂直越权全解-附件资源
38-另一角度看越权漏洞.pdf
03-15
38-另一角度看越权漏洞
【web安全】——逻辑漏洞越权漏洞
热门推荐
Demo不是emo的博客
11-23 1万+
什么?还不会挖越权漏洞?试试这篇文章吧
接口越权扫描平台初探
竹林幽深
04-21 487
原创 有赞技术点击关注“有赞coder”获取更多技术干货哦~作者:马力部门:业务技术测试一、背景介绍在网上,大家经常可以看到诸如数据库被拖库、用户信息泄露等因为安全漏洞引发的问题,给用户和公司都造成了较大的损失。随着公司业务快速发展、功能增多、用户数目不断增加,安全问题越来越成为一个必须重视的问题。在实践安全测试过程中,业务部门和安全部门合作去进行安全测试,早期测试人员和安全同学通过手工执行安全测试用例来发现问题,后续慢慢的也开始使用一些安全工具,通过自动化的方式来提高发现问题的效率。
越权漏洞(IDOR)测试技巧
qq_45244158的博客
03-01 7943
文章目录一、IDOR介绍二、常见的测试技巧1.改变HTTP请求方法2.路径穿越绕过3.改变Content-type(内容类型)4.用数字ID替换非数字5.大小写替换绕过6.用通配符替换ID7.给Web应用提供一个请求ID,哪怕它没作要求8.HTTP参数污染,为同一参数提供多个值。9.更改文件类型。添加不同的文件扩展名(例如.json, .xml, .config)10.JSON参数污染11.在请求体用数组包装参数值12.尝试不同版本的API三、总结 一、IDOR介绍 IDOR,Insecure Dire.
接口安全测试常用的测试
qq_37772593的博客
04-01 541
1.失效的对象级别授权2.失效的用户身份验证3.过度的数据暴露4.资源缺乏和速率限制5.失效的功能级授权5.批量分配7.安全配置错误8.注入9.资产管理不当10.日志和监视不足**
接口测试方案(接口测试思路)
Meng
07-10 687
目录1、接口1.1、测试点1.2、检查点2、页面2.1、测试点2.2、检查点1、输入参数校验(1)类型a.类型定义是否合理?b.是否满足需求?c.是否可以达到设计目的?d.枚举:覆盖全部枚举值、非有效值e.有范围:等价类划分、边界值f.无范围:特殊字符的处理方式g.分隔符拼接:分隔符后没有值、分隔符后有值、连续两个分隔符(2)长度a.长度是否合理?b.是否满足需求?c.是否可以达到设计目的?d.边界值(3)可否为空(是否必选)a.值为空串“”b.消息体中无该字段c.值为null(4)默认值a.默认值是否合理
水平越权漏洞漏洞成因和处置建议
07-07
水平越权漏洞是一种安全漏洞,指的是攻击者通过修改或伪造请求参数、会话标识或其他身份验证机制,以获取未经授权的访问权限或执行特权操作。以下是水平越权漏洞的成因和处置建议: 成因: 1. 不恰当的身份验证和授权机制:系统可能存在缺陷的身份验证和授权机制,未正确验证用户的权限或未正确限制用户的操作范围。 2. 不安全的会话管理:会话标识可能易于猜测、被劫持或未正确管理,导致攻击者能够访问其他用户的会话数据或执行特权操作。 3. 缺乏输入验证和过滤:未正确验证和过滤用户输入,攻击者可以通过修改请求参数实现越权操作。 处置建议: 1. 实施严格的身份验证和授权机制:确保系统正确验证用户身份和权限,并根据用户的权限限制其操作范围。 2. 安全的会话管理:使用随机、复杂且不易预测的会话标识,并确保会话标识在传输和存储过程中得到适当的保护。 3. 输入验证和过滤:对用户输入进行严格验证和过滤,确保只接受有效和预期的输入,并防止攻击者通过修改请求参数来实现越权操作。 4. 最小特权原则:在授权用户时,应遵循最小特权原则,只授予用户完成所需任务所需的最低权限级别。 5. 定期安全审计:对系统进行定期的安全审计,发现和修复可能存在的水平越权漏洞。 6. 持续安全培训和意识提高:教育开发人员、管理员和用户关于水平越权漏洞的风险和防范措施,增强他们对安全问题的意识。 通过以上措施,可以有效减少水平越权漏洞的风险,并提升系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值