(漏洞检查项) | 失效的访问控制 Broken Access Control

于 2024-06-29 16:23:41 发布
阅读量599 收藏 11
点赞数 5
分类专栏: 漏洞检测项 渗透测试 文章标签: 网络安全 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/da1nty/article/details/140066139
版权

(漏洞检查项)|失效的访问控制 Broken Access Control

漏洞场景

失效的访问控制(Broken Access Control)漏洞发生在应用程序未能正确地限制用户对资源或操作的访问,从而允许未授权的用户访问或修改数据。

漏洞描述

失效的访问控制漏洞是由于应用程序未能正确实施访问控制策略,导致攻击者能够绕过权限检查,访问或修改本不应被其访问的数据或执行敏感操作。

漏洞原理

当应用程序未能有效地限制对资源的访问时,攻击者可以通过直接访问URL、操纵请求参数或利用其他技术手段绕过安全检查。这些漏洞通常由于缺乏后端验证、仅依赖于前端安全措施或配置不当而产生。

漏洞危害

  • 攻击者可以访问其他用户的私人数据,导致数据泄露。
  • 攻击者可以执行只有管理员才能执行的操作,导致数据篡改或服务中断。
  • 攻击者可以通过目录遍历访问系统敏感文件,进一步提升攻击能力。
  • 敏感功能被未授权用户访问,导致系统被破坏或滥用。

漏洞评级

高危

漏洞验证

  1. 测试水平权限提升:

    • 登录为普通用户,记录当前用户的唯一标识(如用户ID)。
    • 更改URL中的用户ID,尝试访问其他用户的数据。
    • 例如:原始URL为https://www.example.com/orders?order_id=1234,更改为https://www.example.com/orders?order_id=1235,检查是否能查看其他用户的订单信息。

  2. 测试垂直权限提升:

    • 登录为普通用户,记录普通用户无法访问的管理员功能URL。
    • 尝试直接访问管理员功能URL,检查是否能绕过权限限制。
    • 例如:访问https://www.example-cms.com/admin,检查是否能够访问管理员页面。

  3. 测试目录遍历:

    • 在输入框或URL中尝试使用目录遍历字符(如../),检查是否能访问系统敏感文件。
    • 例如:访问https://www.example.com/../../etc/passwd,检查是否能读取系统文件。

漏洞利用

  • 水平权限提升利用: 攻击者可以通过修改请求参数,访问或修改其他用户的私人数据,进行数据盗窃或篡改。
  • 垂直权限提升利用: 攻击者可以通过直接访问高级功能,执行只有管理员才能执行的操作,进行数据破坏或系统控制。
  • 目录遍历利用: 攻击者可以通过目录遍历访问系统敏感文件,获取系统信息或执行进一步的攻击。

漏洞防御

  • 后端权限验证: 在服务器端对每个请求进行严格的权限检查,确保用户只能访问或操作其有权限的资源。
  • 最小权限原则: 只授予用户其所需的最低权限,避免不必要的权限授予。
  • 安全编码实践: 避免在客户端存储或验证敏感信息,所有的访问控制逻辑应在服务器端实现。
  • 目录遍历防护: 使用安全的文件路径处理库,避免用户输入直接用于文件路径拼接,同时对用户输入进行严格的验证和清理。
  • 定期安全测试: 进行定期的安全测试,包括渗透测试和代码审计,及时发现和修复访问控制漏洞。

典型案例

DVWA越权导致RCE

Redis未授权访问

Da1NtY0926
关注
专栏目录
堵住十大安全漏洞 避免Web应用程序的安全风险
07-06
**失效访问控制Broken Access Control)** 访问控制是确保只有授权用户能够访问特定资源的关键措施。当访问控制失效时,攻击者可以通过简单的技巧绕过这些限制,从而获取未授权的访问权限。 **应对措施**:...
【WEB漏洞原理】失效访问控制_失效访问控制
最新发布
2301_76328475的博客
04-12 1007
Redis 是非关系型数据库系统,没有库表列的逻辑结构,仅仅以键值对的方式存储数据Redis 数据库经常用于Web 应用的缓存Redis 可以与文件系统进行交互Redis 监听TCP/6379在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。
越权访问(Broken ACCESS Control)说明及解决方案
热门推荐
半夏_2021的博客
04-29 1万+
越权访问(Broken ACCESS Control,简称BAC)是一种很常见的逻辑安全漏洞,是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web 应用十大安全隐患的第二名。 越权访问呢可以理解为服务端对客户端提出的数据操作请求过分的信任,一个用户一般只能对自己本身的信息进行增删改查,然而由于后台开发人员的疏忽,没有 在用户进行增删改查时进行用户判断。忽略了该用户的权限判定,导致攻击账户拥有了其他账户的增删改查。
OWASP A1 Broken Access Control (失效访问控制)
震山的博客
10-09 756
初入网络安全,觉得了解 OWASP 还是很有必要的
失效访问控制漏洞复现
weixin_58954236的博客
09-04 1094
Redis是非关系型数据库系统,没有库表列的逻辑结构,仅仅以键值对的方式存储数据。Redis数据库经常用于Web应用的缓存。Redis可以与文件系统进行交互。Redis监听TCP/6379Redis数据库端口号:6379。
OWASP TOP10系列之#TOP5# A5-Broken Access Control
weixin_43125873的博客
08-14 741
OWASP TOP10系列之#TOP5# A5-Broken Access Control 文章目录OWASP TOP10系列之#TOP5# A5-Broken Access Control前言一、Broken Access Control是什么?二、常见攻击方式三、如何防御四、攻击场景总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考
[漏洞检查]Broken Access Control | broken-access-control | 失效访问控制
m0_46101480的博客
11-10 101
某些关键资产(数据库或文件),管理员功能没做访问控制限制或限制被绕过导致非法访问。此种情况意味着没控制住权限,访问控制失效。关键资产没有做访问控制措施,攻击者可以非法访问。.未授权访问,无限制访问控制措施。.资产和功能设置合理的访问控制策略。.DVWA越权导致RCE。.Redis未授权访问。
OWASP_Broken_Web_Apps_VM_1.2
02-16
5. **A5: Broken Access Control**(访问控制失效) - 水平权限提升 - 垂直权限提升 6. **A6: Security Misconfiguration**(安全配置错误) - 开发/测试环境配置不当 - 默认账户/密码未修改 - 失效的变更管理 ...
OWASP TOP10 漏洞介绍中文版
04-21
5. 失效访问控制Broken Access Control):如果应用的访问控制实施不当,可能导致攻击者绕过授权机制,访问他们本没有权限访问的资源或功能。 6. 安全配置错误(Security Misconfiguration):安全配置错误包括...
OWASP Top 10 2017 10最严重的 Web 应用程序安全风险
01-11
5. A5: 2017-失效访问控制Broken Access Control):当访问控制未能正确实施时,攻击者就可以绕过权限验证,访问未授权的数据或功能。 6. A6: 2017-安全配置错误(Security Misconfiguration):安全配置错误...
OWASP-TOP10-2021中文版V1.0发布
01-22
A01:2021-失效访问控制Broken Access Control 失效访问控制是Web应用程序安全风险最严重的类别。提供的数据表明,平均3.81%的测试应用程序具有一个或多个CWE,且此类风险中CWE总发生漏洞应用数超过31.8万次。 ...
你必须知道的十大漏洞失效访问控制
IE-lab网络实验室的博客
07-21 739
在更新前A1的位置曾属于注入攻击,就是大家都熟悉的SQL注入等,但随着安全技术的发展,有安全意识的厂商都会对代码进行实体化,避免此类漏洞出现,并且更新后的top10也对其在更广的意义上进行了覆盖,并命名为权限控制失效BrokenAccessControl)与之前大不相同,权限控制失效更像是我们所说的越权,攻击者会通过各种手段去提升自己的权限。是指攻击者在拥有用户A权限的情况下,水平获取到用户B的权限进行越权操作。是指攻击者将普通用户的权限提升至管理员用户权限对系统进行越权操作;...
【WEB漏洞原理】失效访问控制
过期的秋刀鱼
09-01 2059
应该对Web 应用(系统等)实施访问控制策略,限定不同用户的不同权限(访问范围)。如果没控制住,就意味着访问控制失效
渗透知识-越权漏洞
Jian Sun_的博客
02-11 2448
一、漏洞描述 越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。 该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不充分,就易致越权漏洞。 二、漏洞分类 越权访...
OWASP列举的Web应用程序十大安全漏洞 - 失效访问控制
qq_31142237的博客
02-11 753
OWASP列举的Web应用程序十大安全漏洞 - 失效访问控制
失效访问控制
Flytiger
07-04 1288
由于缺乏自动化的检测和应用程序开发人员缺乏有效 的功能测试,因而访问控制缺陷很常见。导致攻击者可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。
A5 失效访问控制
weixin_43355264的博客
01-17 1223
失效访问控制访问控制的利用是渗透测试人员的一核心技能。SAST工具和DAST工具可以检测到访问控制的缺失,但不能验证其功能是否正常访问控制可通过手动方式检测,或在某些特定框架下通过自动化检测访问控制缺失。 访问控制检测通常不适用于自动化的静态或动态测试。手动检测是检测访问控制缺失或失效的最佳方法。包括:HTTP方法、控制器、直接对象引用等。 技术影响是攻击者可以冒充用户、管理员或拥有...
OWASP TOP10-2021中文版更新解读:访问控制与加密风险升位
- **A01:2021-失效访问控制 (Broken Access Control)**:用户未经授权访问系统资源的问题依然突出。 - **A02:2021-加密机制失效 (Cryptographic Failures)**:这包括密码存储、传输和使用中的加密不当。 - **A03...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Da1NtY0926

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值