越权访问
原理:水平越权是代码安全性低,抓包更改即可;垂直越权是web应用没做权限控制,只要猜到管理员url(“admin”名)就可以访问控制其他角色
分类:水平越权 不同的两个公司A和B通过修改请求,A公司可以任意修改B公司的信息
垂直越权 同一个公司的AB A可以改B的信息,B可以改A的
如何查找漏洞:
抓包看请求的url地址,对于关键的参数值(id)进行修改根据返回结果来进行初步判定。注册两个小号来确定是否存在越权
实例:https://blog.csdn.net/zhengshengnan123/article/details/66472180/
步骤:
1、以超管admin(高权限用户)身份登录系统。
2、找到一个只有超管(高权限)才有的功能的链接,比如说:http://localhost/mywebappname/userManage/userList.do,显示出所有的user,并复制此链接。
3、以普通用户登陆进系统,在地址栏输入: userManage/userList.do,如果可以查看到其所有的user,则就造成了,普通用户的越权访问。
a.检测说明:权限管理测试更多的是进行人工分析,自动化工具无法了解页面的具体应用场景以及逻辑判断过程。因此这里的测试需要首先测试人员理解测试业务系统的逻辑处理流程,并在此基础上进行如下测试。
b.页面是否进行权限判断;
c.页面提交的资源标志是否与已登陆的用户身份进行匹配比对;
d.用户登陆后,服务器端不应再以客户端提交的用户身份信息为依据,而应以会话中保存的已登陆的用户身份信息为准;
e.必须在服务器端对每个请求URL进行鉴权,而不能仅仅通过客户端的菜单屏蔽或者按钮Disable来限制。
---------------------
作者:随 亦
来源:CSDN
原文:https://blog.csdn.net/wutianxu123/article/details/82634919
版权声明:本文为博主原创文章,转载请附上博文链接!
测试点:
“个人基本信息”“购物车” “订单” “收藏”“增删改查”
如何防御:
1,类似于这种请求,例如查看用户信息等,不能只根据用户 id 去搜索,应该再次进行身份验证。
2,可以从用户的加密认证 cookie 中获取当前用户 id,防止攻击者对其修改。或在 session、cookie 中加入不可预测、不可猜解的 user 信息。
3,在每个页面加载前进行权限认证。
4,特别敏感操作可以让用户再次输入密码或其他的验证信息。
---------------------
作者:发哥微课堂
来源:CSDN
原文:https://blog.csdn.net/fageweiketang/article/details/80685594
版权声明:本文为博主原创文章,转载请附上博文链接!