开发中遇到的越权问题

最新推荐文章于 2024-10-25 14:10:20 发布
最新推荐文章于 2024-10-25 14:10:20 发布
阅读量551 收藏
点赞数
分类专栏: php 网站开发 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37632591/article/details/106430653
版权
本文讨论了API请求订单详情接口时可能出现的越权问题。当用户篡改订单ID参数,可能导致获取非本人订单信息。为解决此问题,提出了一种验证策略:根据订单ID获取user_id,并与当前登录用户的ID比较,不一致则提示越权。
摘要由CSDN通过智能技术生成

越权问题:

描述:在使用 api 请求订单详情接口时,一般我们是传递订单id 来获取该订单的内容。但是会存在一个问题:当用户手动去变更订单id 参数来请求接口数据时,会获取到不属于他的数据,这就产生了越权。

解决办法: 根据订单id 查询到对应的user_id 对当前登录用户的id 和查询到的user_id 进行一致性判断,如果不一致,则返回操作越权。

示例代码:

public function orderAuth($order_id){
   
    $userInfo = new User();
    $user_id
最低0.47元/天 解锁文章
钚该钚想
关注
专栏目录
怎么解决php越权访问,WEB安全系列之《如何挖掘越权漏洞》
weixin_34170028的博客
03-16 500
0x01 前言我作为一个彩笔,很荣幸成为签约作家团的一员,今天,就来讲讲越权,今天会举三个例子,一个代码审计,两个黑盒测试。0x02什么是越权越权漏洞是Web应用程序一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。所以测试越权就...
项目遇到的水平越权漏洞及修复方法
21rock的博客
06-16 1万+
项目基于thinkphp5框架,虽然说框架底层为开发者提供了基本的参数过滤和参数绑定等安全防护。能在很大程度上防范XSS攻击和SQL注入,但在在开发也应该注意避免产生业务逻辑漏洞和做好用户权限认证。今天在项目发现了一个安全漏洞:A用户可以修改甚至删除B用户的收货地址。这个漏洞出现的原因是开发者没有对请求进行严格的权限认证,本文主要叙述发现漏洞的过程及修复的方法。 一. 此段代码的逻辑是当收到ge
接口越权扫描平台初探
zouhui1003it的专栏
11-26 929
‍‍‍‍作者:马力部门:业务技术测试一、背景介绍在网上,大家经常可以看到诸如数据库被拖库、用户信息泄露等因为安全漏洞引发的问题,给用户和公司都造成了较大的损失。随着公司业务快速发展、功能...
安全测试--Auth Analyzer接口越权
最新发布
OKCRoss的博客
10-25 756
越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不充分,就易致越权漏洞。沐沐在安全测试过程较为常见的就是接口越权漏洞,在尝试过多种工具进行越权漏洞测试后,最终找到了个人认为最便捷最有效率的方式,即使用Burp Suite工具的Auth Analyzer插件进行接口越权批量测试;是指本来有个账号(即只能操作自己的数据,比如增删改查),但是通过越权操作,能操作其他同等权限账号的数据;接口越权漏洞修复后,再重复以上步骤复测即可。
越权漏洞风险及解决方案
Java相关领域
03-22 1万+
常见越权有水平越权、垂直越权和数据越权
高效揭露安全漏洞!用Auth Analyzer插件批量测试接口越权,安全测试快人一步!
测试萌萌
11-13 629
接口越权漏洞修复后,再重复以上步骤复测即可。希望这篇文章对大家有所帮助,提升接口越权测试的粒度和效率。
burpsuite 越权_越权漏洞之测试与修复
weixin_39771301的博客
12-20 1199
这几年,开发人员的安全意识与安全开发水平都有了很大程度的提高。像文件上传、SQL注入漏洞,在网络安全比较受重视的企业,差不多都已经杜绝了,即便有出现,也是凤毛菱角了。目前,部分企业网络安全目前面临的另一大挑战就是越权漏洞,特别是大型系统,功能模块接口特别多,如果未对权限进行全局校验,则难免会有所遗漏,最终出现越权漏洞。一、越权漏洞定义及分类越权,从字面意思不难理解,主要有以下几种可能:1...
越权漏洞实战之从越权到越轨
Ms08067安全实验室
11-08 764
文章来源|MS08067 “WEB攻防”知识星球本文作者:Taoing(WEB高级漏洞挖掘班讲师)什么是越权漏洞?由于没有对用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以去完...
API接口遍历越权获取个人信息
内心不种满鲜花就会长满杂草
08-04 7268
漏洞描述 前端程序通过调用api接口获取对应的数据信息,如果对参数校验不严格,即可以越权获取别的账户信息 在一次APP渗透测试,登录账号后点击我的,如下 查看数据包如下,其有个参数为user_id,服务器根据user_id值回显对应的账号信息 我尝试修改user_id值为5,对应的账号信息进行了变动,由此,可以知道此处对参数的校验不严格。所以,我们通过对user_id值进行遍历就能够获取所有的账号信息 编写get_api脚本如下,遍历user_id值为(1,5000)的账户手机..
web的越权访问的处理(步骤详解)
赏樱看雪撸代码
07-04 1万+
用户越权访问的处理 一般来说,越权放问就好比你是非系统管理员用户,却偷偷的跑进了系统管理菜单,僭越权利访问里面的信息甚至修改其的数据(不同级别的越权又称垂直越权访问),因此对数据的安全性造成极大的威胁,是故每家企业都有其方法来保证企业内部数据的安全性,也就是解决越权访问的问题。 有关改业务处理主要考虑下面两个方面: url的越权访问和接口方法的越权访问 通过角色用户来判断是否越权访...
越权漏洞(1)
skdgyf的博客
02-22 256
水平越权、垂直越权 这篇文章对逻辑越权的水平越权和垂直越权进行一个总结,顺带加一个墨者靶场"身份认证失效漏洞实战"的一个打靶记录+工具的使用。正文如下: 水平越权:用户拥有相同等级的权限,但是通过更换某个ID之类可以使同级用户a获取(修改,删除)同级用户b的数据 垂直越权:使用低身份的账号,发送高权限才有的请求,获得更高权限的操作。 无授权访问:通过删除请求的认证信息后重新发送该请求,依旧可以访问或者完成操作。 图片来源:https://blog.csdn.net/weixin_454
接口测试流程和用例设计
明明很多的博客
02-19 855
接口测试流程和用例设计
实战SRC | api接口未授权 + 越权漏洞
2301_80127209的博客
01-04 886
userToken=,拼接上在该学校查询到的学号,发现并不能获取到信息。于是仔细的观察,发现有个api路径为 :"url":"/api/xxx"一次在fofa上通过学习的fofa语句进行查询,无意查询到了一个网址。所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.果然,成功获取到账号密码,通过遍历学号,找到管理员的账号,密码信息。这次通过修改userToken的值,可以直接进行越权!进来继续寻找是否有其他漏洞,果然,又让我找到了!本文由掌控安全学院 - zxl2605 投稿。
接口测试方案(接口测试思路)
Meng
07-10 746
目录1、接口1.1、测试点1.2、检查点2、页面2.1、测试点2.2、检查点1、输入参数校验(1)类型a.类型定义是否合理?b.是否满足需求?c.是否可以达到设计目的?d.枚举:覆盖全部枚举值、非有效值e.有范围:等价类划分、边界值f.无范围:特殊字符的处理方式g.分隔符拼接:分隔符后没有值、分隔符后有值、连续两个分隔符(2)长度a.长度是否合理?b.是否满足需求?c.是否可以达到设计目的?d.边界值(3)可否为空(是否必选)a.值为空串“”b.消息体无该字段c.值为null(4)默认值a.默认值是否合理
【网络安全】垂直越权漏洞与代码分析
m0_59598029的博客
01-16 1210
文章写完了之后,申请CVE有一些麻烦,不过好在还是申请到了ps 申请CVE前,已经提交了CNVD【一>所有资源获取
Java根据自定义注解对接口权限控制
zy_javapythonc的博客
03-12 2410
Java根据自定义注解对接口权限控制 一、前言 最近公司要求对项目的权限控制颗粒度到接口层面,原计划按照swagger注解扫描所有controller层url,并按层级维护树级结构资源,然后持久层到数据库表。 由于swagger会扫出所有接口切有一些无用url,最终决定自定义注解进行进行配置及扫描 下面将注解以及表结构放如下: 二、表结构与代码实例 create table res ( id bigint not null
越权问题解决优化方案
热门推荐
℃江
12-29 3万+
这是本人平时积累,拿去用: 问题背景:越权漏洞是Web 应用常见的安全漏洞。其主要来源于开发者在对数据进行增删改查的时候,过分相信用户传递的数据,从而遗漏了用户权限的判定导致的,这种问题应该止于测试人员。当单独调用某接口时并没有完成相应权限的校验,造成越权操作现象。问题应用相关实例场景:一:用户A可以在B网站增加、删除、修改、查看用户C的相关信息。二:后端的不同接口内部之间为了解耦没有进行权限验证三
Web站点越权访问情况及处理方式汇总
tooler的博客
10-14 1万+
最近安全测评,遇到Web站点越权访问的事情,平时开发都没太在意,现在通过项目测评才意识到问题的严重性;通过网上查询汇总梳理如下,供大家参考,主要有以下几种情况,分别对应不同的处理模式;文章描述主要针对Java语言,其他语言也应该类似。 1. 没有用户登录,就可以直接访问系统页面; 处理方式有两种: a)系统页面不多,直接在Web站点过滤器filter增加session判断,需要在登录后sess...
大学生心理咨询系统开发:毕业设计项目
大学生心理咨询系统是一个专为高校学生设计的心理健康服务平台,目的在于帮助学生解决在学习、生活、情感和职业规划等方面遇到问题,提高他们的心理健康水平和生活质量。该系统通过提供在线咨询服务、心理测评、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值