【Web攻防之业务安全实战指南】第6章 业务授权访问模块

已于 2023-10-17 13:15:42 修改
阅读量165 收藏
点赞数 4
分类专栏: 《Web攻防之业务安全实战指南》技术篇复现 文章标签: 安全 web安全
于 2023-10-08 10:07:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45196785/article/details/133670914
版权

 视频教程

《Web攻防之业务安全实战指南》技术篇复现 6.1 非授权访问测试_哔哩哔哩_bilibili

《Web攻防之业务安全实战指南》技术篇复现 6.2.2.1 水平越权测试_哔哩哔哩_bilibili

《Web攻防之业务安全实战指南》技术篇复现 6.2.2.2 垂直越权测试_哔哩哔哩_bilibili

6.1 非授权访问测试

6.1.1 测试原理和方法

非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访问到的页面或文本信息。可以尝试在登录某网站前台或后台之后,将相关的页面链接复制到其他浏览器或其他电脑上进行访问,观察是否能访问成功。

6.1.2 测试过程

靶场:xvwa-Missing Functional Access Control

靶场下载链接:xvwa

URL:http://192.168.2.14/xvwa/vulnerabilities/missfunc/

1.登录admin账号

用户名:admin,密码:admin

2.进入Missing Functional Access Control,查看item=4,点击View

3.复制URL在另一个浏览器中打开(或者burp抓包删除cookie),在不登陆的情况下也可以查看数据

URL:http://192.168.2.14/xvwa/vulnerabilities/missfunc/?item=4&action=view

6.1.3 修复建议

未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露,所以对未授权访问页面做Session认证,并对用户访问的每一个URL做身份鉴别,正确地校验用户ID及Token等。

6.2 越权测试

6.2.1 测试原理和方法

越权一般分为水平越权和垂直越权,水平越权是指相同权限的不同用户可以互相访问;垂直越权是指使用权限低的用户可以访问权限较高的用户。

6.2.2 测试过程

靶场:pikachu-Over Permission

靶场下载链接:pikachu

6.2.2.1 水平越权测试

URL:http://192.168.2.14/pikachu/vul/overpermission/op1/op1_login.php

1.点击查看个人信息,burp抓包查看lucy个人信息

用户名:lucy,密码:123456

2.Intruder模块爆破username,载入username top500字典

字典下载链接:fuzzDicts

3.查看响应包返回长度,成功查看lili用户个人信息

6.2.2.2 垂直越权测试

URL:http://192.168.2.14/pikachu/vul/overpermission/op2/op2_login.php

1.先登录普通用户pikachu查看权限

2.再登录管理员账号admin查看权限

3.观察添加操作和删除操作

添加URL:/pikachu/vul/overpermission/op2/op2_admin_edit.php

删除URL: /pikachu/vul/overpermission/op2/op2_admin.php?id=25

4.管理员退出,登录普通用户,访问添加url,点击创建后返回用户列表查看,成功添加用户

5.访问删除url,返回用户列表查看没有变化,删除操作不存在越权

6.2.3 修复建议

服务端需校验身份唯一性,自己的身份只能查看、修改、删除、添加自己的信息。

挖个洞先
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
30-3 越权漏洞 - 水平越权(横向越权)
weixin_43263566的博客
03-25 447
攻击者可以访问和操作与其拥有同级权限的用户资源。
Vulnhub靶场--AI-Web-1.0提权获取flag
qq_53830529的博客
05-16 683
vulnhub实战靶场中的AI-Web-1.0,使用两种SQL注入上传shell的方法,第一:SQLmap的--os-shell上传shell,第二:通过手动into outfile上传webshell。
web前端页面访问的两种方式
测试
04-08 2593
有人会问了 同样是web前端的项目,为什么用模块化(ng、react、vue)开发的项目必须得tomcat、http-server等服务器才能正常访问呢?而普通的项目文件能直接访问。其实很简单,就是因为index文件引入的其他文件是绝对路径,注意是路径问题。因为vue-cli的默认配置中, publishPath是用绝对目录, 所以dist文件夹里的文件必须放在服务器的根目录。如果你...
IDEA中导入Web模块实现Tomcat访问的记录
m0_56639363的博客
09-10 399
在跟着视频里的步骤学习的时候,到了tomcat部署项目这块出现了好多问题,比如项目中Web的Module的创建、添加指定Module的类库依赖(Dependence)、添加指定Module的Artifacts,和配置Tomcat Run/Dubug Configurations的一些细节问题总之最后我按照这个流程是终于配置成功了。后边用Maven应该会轻松很多。
Web攻防业务安全指南(网盘下载)-附件资源
03-02
Web攻防业务安全指南(网盘下载)-附件资源
xsser_platform:《 Web安全攻防:渗透测试实战指南》 XSS测试平台原始码
03-23
这个平台是《Web安全攻防:渗透测试实战指南》一书中的实践工具,提供了对XSS漏洞进行探测和分析的功能。"原始码"表明这是该平台的源代码,意味着我们可以深入了解其工作原理并根据需要进行定制或扩展。 【描述详解...
读书笔记:Web安全攻防渗透测试实战指南.zip
07-22
读书笔记:Web安全攻防渗透测试实战指南
企业如何保证公司内网安全
shunyou0526的博客
07-25 181
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 192
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
2024安全大模型技术与市场研究报告
cybtec的博客
07-25 289
2024安全大模型技术与市场研究报告
轨道式智能巡检机器人,助力综合管廊安全运维
配电房综合监控
07-25 544
管廊巡检往往处于昏暗、潮湿、幽闭且狭长的空间环境,巡检过程中容易遇到有毒有害气体、泄露的燃气和强电等危险,同时不可避免会对巡检人员的心理构成一定负面影响。)实时性:地下管廊短则几公里、长则数十公里,其内部空间结构复杂,具有设备多、定位难的特点。综合管廊内部环境复杂而恶劣,给水、排水、热力、燃气、电力、电信等管道排布其中,空间狭窄、昏暗、潮湿,甚至会出现有毒害气体泄漏的环境。)环境检测功能:基于各类环境传感器,对于廊体内温湿度、有害气体含量、空气含氧量、烟雾浓度、光照度、井盖等状态进行检测。
一线工作中常用 Shell 脚本: Jar包部署为linux系统服务; 恶意访问安全防范; SSH 免交互执行命令;
最新发布
iOS逆向与安全
07-25 69
当要使用多个不同的private key登录不同的主机时,我们可以在ssh命令里面用-i参数指定每次使用的private key文件。需求: 通过脚本自动化部署(自动远程登录、远程复制本地资源到服务器,远程执行部署相关命令。之间,remotessh可以随便修改成其他形式的字符串。可以利用~/.ssh/config文件,在让ssh自动为我们决定应该使用哪个key。在文本中搜索指定的内容——grep命令的常用选项。远程执行的命令内容较多,使用脚本方式实现。方法2:通过TCP建立的连接。
保障企业数据主权:安全可控的爬虫工具与管理平台
zhou6343178的博客
07-25 413
在数据驱动的时代,企业对数据的需求日益增长,但如何在保障数据主权的前提下高效采集数据?本文深入探讨了选择安全可控爬虫工具与管理平台的重要性,分析了关键特性,并提出实用建议,助力企业维护数据安全,实现数据价值最大化。
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 464
指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
后台管理系统登录安全和权限要求
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
07-25 545
启用MFA后,系统将要求输入用户名和密码(第一安全要素),再进行输入来自其 MFA设备的动态验证码(第二安全要素),双因子的安全认证将为您的账户提供更高的安全保护。传统的用户名和密码认证容易受到破解、盗取或暴力破解等攻击方式的威胁,而双因子认证可以提供额外的安全层次,确保只有授权用户才能访问账户或系统。通过采用双因子认证,企业可以增加用户账号的安全性,降低身份盗窃和欺诈行为的风险,提高用户对系统的信任度。这在网络安全是极不安全的。订单管理:用于管理订单信息,包括查看订单、修改订单状态、发货、退货、退款等。
WAF+API安全代表厂商|瑞数信息入选IDC报告《生成式AI推动下的中国网络安全硬件市场现状及技术发展趋势》
科技云报道
07-25 505
目前,传统在Web应用安全网关等产品中的API防护功能已经不足以防护日益复杂的API攻击,API安全应站在全生命周期管理的角度,从API安全开发和部署(API测试等)开始,配合加密、身份认证、权限管控、API安全测试、检测、监测、威胁防护、威胁处理等能力来进行管理和控制。WAF可以作为硬件设备、企业软件、虚拟设备或公有云服务部署。从API的开发部署开始,融合静态应用安全测试、动态应用安全测试、API资产梳理、API鉴权认证、API检测监测、威胁管理的全生命周期防护解决方案,帮助用户一键解决API安全问题。
网站被浏览器提示“不安全”,如何解决
ABCDEFK1234的博客
07-24 200
网站被浏览器提示“不安全”,如何解决
安全与服务的双重奏:探究ISO20000和ISO27001的企业变革力量
xinbiao001的博客
07-25 488
ISO20000是一个面向机构的IT服务管理标准,旨在提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。它主要关注的是IT服务管理的流程和质量,帮助企业建立高效的IT服务支持,确保IT服务与企业业务目标一致,提高信息技术服务和运营效率,控制IT风险及相关的成本。例如,华为技术有限公司就通过实施这两项体系,提高了内部IT信息安全管理规范,改善了员工对信息安全服务的认知,提升了品牌形象,并促进了与客户的关系。成功的关键在于管理层对这一过程的承诺,以及员工对标准和流程的认同和遵循。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值