逻辑越权漏洞测试方法和未授权访问

已于 2023-10-29 16:20:25 修改
阅读量335 收藏 1
点赞数
分类专栏: 网络安全 web安全 文章标签: web安全 逻辑越权
于 2023-10-29 16:03:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XXokok/article/details/134104032
版权

逻辑越权漏洞测试方法和未授权访问

逻辑越权有两种,一种是垂直越权,一种是水平越权,关系如下图:

1698562160618如果你是用户1,通过修改数据包之类的操作,获取了用户2的个人信息,或者做到了用户2的操作,比如说你本是用户1却使用了用户2的账号发表了一个评论,这本该是用户2才能做的事,这就是水平越权的意思。

如果你是用户1,通过修改数据包的操作,获取了管理员的信息,或者做到了只有管理员才能做到的事情,比如禁言谁,删除其它用户的作品等,这就是垂直越权的意思。

未授权访问: 比如说你没有账户,而你想访问的资源是需要用户登录注册才能看到的,可你通过修改数据包或者其它操作,获取到了这些资源,这算是未授权。

未授权访问和垂直越权访问的区别:

未授权访问是指用户没有通过身份验证访问资源的情况,而垂直越权访问是指已经通过身份验证,但试图越权访问资源的情况。

如果不好区分的话,那就直接叫未授权吧。

在测试过程中,如果你的目标量不多那就不需要用工具去测试这些逻辑越权的问题,手工测试更加方便,如果你的目标很大,那就只好用工具了。我列出几个,如有需要具体用法自行搜索

1、检测插件:

https://github.com/smxiazi/xia_Yue

2、检测项目:

https://github.com/ztosec/secscan-authcheck

https://github.com/y1nglamore/IDOR_detect_tool

测试逻辑越权漏洞和未授权访问漏洞的方法:

  1. 抓取数据包,观察数据包中跟身份凭据相关的参数,比如username,ID值等;如果对方是加密过后发送的,那么你还需要在前端JS代码中逆向出对方的加密算法,如果没加密那就直接试着把id这种类型参数的值改成其它的,用枚举的方法看看会不会响应意料之外的东西。​

    怎么逆向出网站JS加密算法我前面也讲过可以看看,以及如果目标不允许调试怎么办:

    js逆向·找到登录时目标网站的加密算法的几种方式-CSDN博客

    JS反调试绕过&JS代码混淆&JSFUCK编码_jsfuck解密-CSDN博客

    1698565133011

    比如上面这张数据库里的表就很能说明这个问题,如果参数名叫admin_ok的值为1的话,usertype值为3的话,就说明这是一个管理员。那我们在数据包里抓取下来把原本的普通用户的对应值修改成这个,那就是逻辑越权了。当然大多数实际情况验证的肯定比这个强,我只是举个例子说明。

  2. 如果对方数据包中带有Token,那要么直接不管继续测试,要么把Token的值删除掉,要么连参数名连带参数值都删除掉,这么测就是了。

  3. 还可以用工具,在前端js代码里,去发现更多的目标网站地址,试着去访问,如果那个地址原本是需要登录或者原本是需要管理员才能访问的,你发现了,你访问到了。那就是一个未授权访问漏洞了。前端JS代码可能会用webpack打包,那我们也可以用类似工具去发现比如:PackerFuzzer这个工具,详细教程:

    Packer Fuzzer-针对前端打包工具构造的网站漏洞扫描工具 - 🔰雨苁ℒ🔰 (ddosi.org)

  4. 除了在js里发现更多子目录,还可以用目录扫描,爬虫的方式去发现,然后都去试着访问一下,看看是否有未授权的页面可以访问到。如果嫌结果太多,就把发现的URL整理到字典里去用BP批量跑,观察响应码,200或许是可以正常访问的,403可能就是提示页面不存在,或者你没有权限访问的问题。怎么用BP工具批量访问URL呢?详情如下:

    把请求的地址设置为一个变量,然后加载字典就行了。

    1698567453352BP的站点地图里也会显示分析出来的目标网站的目录结构,可以关注一下:

    1698567612436

梧六柒
关注
专栏目录
越权检测 burp插件 autorize 使用
weixin_45596492的博客
04-08 1万+
官方描述 Autorize 是一个旨在帮助渗透测试人员检测授权漏洞的扩展,这是 Web 应用程序渗透测试中比较耗时的任务之一。 将低权限用户的 cookie 提供给扩展程序并使用高权限用户浏览网站就足够了。该扩展会自动重复每个请求与低权限用户的会话并检测授权漏洞。 除了授权漏洞之外,还可以在没有任何 cookie 的情况下重复每个请求,以检测身份验证漏洞。 该插件无需任何配置即可工作,但也是高度可定制的,允许配置授权执行条件的粒度以及插件必须测试哪些请求,哪些不需要。可以保存插件的状态并以 HTML
浅谈逻辑漏洞中的越权访问漏洞
PICACHU+++的博客
07-02 530
水平越权:通过更换的某个ID之类的身份标识,从而使A账号获得(增删查改)B账号的数据垂直越权:使用低权限身份的账号,发送高权限账号的请求,获得其高权限的操作授权访问:通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作假设用户A和用户B属于同一角色,拥有相同的权限等级,他们能获取自己的私有数据(数据A和数据B),但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据(数据B),那么用户A访问数据的这种行为就叫做水平越权访问
探索安全边界:API越权漏洞检测工具
最新发布
gitblog_01139的博客
08-12 427
探索安全边界:API越权漏洞检测工具 IDOR_detect_tool一款API水平越权漏洞检测工具项目地址:https://gitcode.com/gh_mirrors/id/IDOR_detect_tool 在数字化的今天,API成为应用程序之间的关键通信渠道。然而,随着API使用的普及,安全隐患也随之而来,特别是权限管理不当可能导致的越权漏洞。为此,我们引荐一款强大的越权漏洞自动化检测工具...
小米范工具系列之八:小米范越权漏洞检测工具
weixin_30413739的博客
06-28 388
小米范越权漏洞检测工具主要是检测网站越权漏洞的工具。 此工具请使用Java 1.8以上版本运行。 检测原理: 此工具内置了三个浏览器,三个浏览器完全独立,目前采用的是chrome内核,我们可以为三个浏览器使用不同的用户登录目标网站, 或者为三个浏览器设置不同的cookie,然后让他们同时去访问同一个url或者发送同样的请求,观察三个浏览器的页面变化。 假如某个URL本应只有1号浏览器的...
BurpSuite越权测试
liuqinhou的博客
02-09 1394
越权测试
开源API越权漏洞检测系统推荐:IDOR_detect_tool
程序猿DD
03-08 590
相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢? Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损。 而在Web应用的安全问题中,最常见的漏洞之一是不安全的直接对象引用,简称:IDOR。即:当应用程序允许用户访问他们不应该访问的资源时,就会发生IDOR漏洞。比如:SaaS软件的用户A访问到了用户B的数据,这样的漏洞是灾难性的,因为用户将不再信任
逻辑越权漏洞
qq_46085232的博客
05-07 253
逻辑越权漏洞越权漏洞漏洞原理漏洞实践水平越权垂直越权漏洞拓展 越权漏洞 水平越权:同一权限用户间的跨越 垂直越权:同一用户不同权限间的跨越 漏洞原理 不同的用户的权限等级在数据库中,就是用一个值表示的,例如mem-level为0表示管理员用户,为1表示普通用户。水平越权主要是参数问题,如www.xxx.com/u/user.php?user_id=008,后面的参数user_id就是可能出现该漏洞的地方,水平一般可以通过黑盒测试出来。垂直越权,我看到的分两种,一种就是修改数据包代表权限等级的值,还有一种就
WEB漏洞-逻辑越权
weixin_46544151的博客
04-30 1525
目录 33、逻辑越权之水平垂直越权 原理 一、Pikachu-本地水平垂直越权演示(漏洞成因) 1.水平越权 2.垂直越权 3.越权漏洞产生的原理解析: 二、墨者水平-身份认证失效漏洞实战(漏洞成因) 三、越权检测-小米范越权漏洞检测工具(工具使用) 四、越权检测-Burpsuite插件Authz安装测试(插件使用) 1.在burpsuite中插件管理找到Authz安装 2.登录mozhe靶场test用户抓包,抓取card_id 3.pikachu中测试 34、逻辑越权之支付...
04-企业级授权访问漏洞防御实践1
08-03
授权访问漏洞测试方法 - **盲测**:基于已知的后台地址规则,尝试访问限制级别的页面。 - **复制Cookie**:在两个浏览器中分别登录不同权限的账号,通过复制低权限账户的Cookie到高权限用户的请求中,检查是否...
网络安全---渗透测试----业务逻辑漏洞(1-业务逻辑
weixin_52796034的博客
10-23 599
业务逻辑是指一个实体单元为了向另一个实体单元提供服务,应该具备的规则与流程。业务逻辑是指在实际业务操作中,通过对业务规则和规程的分析和抽象,确定业务处理的规则和步骤。业务逻辑通常由一组规则或者算法来描述业务流程,涉及到数据的处理、存储、分析和展示等方面,它是一个抽象的概念,在软件开发中占据着重要的地位。在面向对象编程中,业务逻辑通常被封装在对象的方法中,以此来实现对数据的操作和处理。在Web应用程序中,业务逻辑通常会包含在Controller层中,用于处理用户请求和响应结果。
编辑器漏洞越权逻辑漏洞(不安全的对象引用、功能级别访问控制缺失)
赤赤三的博客
03-24 2815
编辑器漏洞: Ewebeditor编辑器漏洞 Fckeditor编辑器漏洞 ckfinder编辑器漏洞 旁注、目录越权、跨库、CDN绕过 旁注: 在同一个服务器上有多个站点,我们要攻击的这个站点假设没有漏洞,我们就可以攻击服务器上任意一个站点,这就是旁注 IP逆向查询有多少个站点(通过ping获得其相关地址后,通过ip地址反查其旁注的域名): http://stool.chinaz.com/Same/ http://dns.aizhan.com/ htt...
探秘高效安全越权检测工具
gitblog_00065的博客
08-10 298
探秘高效安全越权检测工具 secscan-authcheck越权检测工具项目地址:https://gitcode.com/gh_mirrors/se/secscan-authcheck 在网络安全的世界里,越权访问是一个不容忽视的问题。如今,有一款开源的越权检测工具,以其强大的功能和易用性,正逐渐成为开发者们信赖的安全守护者。本文将带你深入了解这款工具,带你领略其精妙之处。 项目介绍 这个越权...
用IAST工具强化“越权检测”能力,提升系统安全
weixin_55163056的博客
06-18 749
什么是越权漏洞,如何检测越权漏洞
Authz和AuthzMatrix 逻辑越权工具
weixin_54431413的博客
04-10 2787
burpsuite里的Authz和Authzmarix插件的安装和简单使用。
高效揭露安全漏洞!用Auth Analyzer插件批量测试接口越权安全测试快人一步!
测试萌萌
11-13 636
接口越权漏洞修复后,再重复以上步骤复测即可。希望这篇文章对大家有所帮助,提升接口越权测试的粒度和效率。
还在人工测越权漏洞?快来自动扫描吧!
人生不怕起点低,就怕没追求
09-24 5041
前言 关于越权漏洞,大家都熟知水平越权、垂直越权授权访问,此处不再赘述概念了。 对于越权漏洞的测试,通用的测试方法,也都是人工通过代理抓包工具截获报文,然后尝试删除Cookie测试是否存在访问越权,或者篡改Uid、Uno之类的值测试是否存在业务逻辑越权等。 这种人工检测越权漏洞的方法,不仅工作量大,而且效率低,还容易产生遗漏。 AppScan作为一个自动化的渗透测试工具,具备自动扫描越权漏洞的能力,可大大提高测试覆盖率和效率,减少人工成本。 所以,快跟我一起挖掘AppScan的这项隐藏技能吧。 特.
逻辑漏洞越权访问
zhangge3663的博客
03-12 1667
越权访问简介 一般越权访问包含授权访问、平行越权、垂直越权授权访问:就是在没有任何授权的情况下对需要认证的资源进行访问以及增删改查。 垂直越权:通过低权限向高权限跨越形成垂直越权访问。 平行越权,顾名思义就是同等用户权限之下,不用进入其他用户的账户也可以对别的用户资料或者订单等信息进行增删改查操作的目的。 下面我们来看一些案例(以下多图,流量党慎入) ...
[zkaq靶场]逻辑漏洞--越权
wwxxee
05-09 983
逻辑漏洞越权 参考案例: 通过修改GET传参来越权:(https://www.uedbox.com/post/9900/) 通过修改POST传参来越权:(https://www.uedbox.com/post/9549/) 通过修改cookie传参进行越权(https://www.uedbox.com/post/12566/) 授权访问:https://www.uedbox.com/post/12151/ 靶场 首页:点击注册之后 我们随便注册一个用户: 当前是普通用户,并且报修内容
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值