视频教程
《Web攻防之业务安全实战指南》技术篇复现 6.1 非授权访问测试_哔哩哔哩_bilibili
《Web攻防之业务安全实战指南》技术篇复现 6.2.2.1 水平越权测试_哔哩哔哩_bilibili
《Web攻防之业务安全实战指南》技术篇复现 6.2.2.2 垂直越权测试_哔哩哔哩_bilibili
6.1 非授权访问测试
6.1.1 测试原理和方法
非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访问到的页面或文本信息。可以尝试在登录某网站前台或后台之后,将相关的页面链接复制到其他浏览器或其他电脑上进行访问,观察是否能访问成功。
6.1.2 测试过程
靶场:xvwa-Missing Functional Access Control
靶场下载链接:xvwa
URL:http://192.168.2.14/xvwa/vulnerabilities/missfunc/
1.登录admin账号
用户名:admin,密码:admin
2.进入Missing Functional Access Control,查看item=4,点击View
3.复制URL在另一个浏览器中打开(或者burp抓包删除cookie),在不登陆的情况下也可以查看数据
URL:http://192.168.2.14/xvwa/vulnerabilities/missfunc/?item=4&action=view
6.1.3 修复建议
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露,所以对未授权访问页面做Session认证,并对用户访问的每一个URL做身份鉴别,正确地校验用户ID及Token等。
6.2 越权测试
6.2.1 测试原理和方法
越权一般分为水平越权和垂直越权,水平越权是指相同权限的不同用户可以互相访问;垂直越权是指使用权限低的用户可以访问权限较高的用户。
6.2.2 测试过程
靶场:pikachu-Over Permission
靶场下载链接:pikachu
6.2.2.1 水平越权测试
URL:http://192.168.2.14/pikachu/vul/overpermission/op1/op1_login.php
1.点击查看个人信息,burp抓包查看lucy个人信息
用户名:lucy,密码:123456
2.Intruder模块爆破username,载入username top500字典
字典下载链接:fuzzDicts
3.查看响应包返回长度,成功查看lili用户个人信息
6.2.2.2 垂直越权测试
URL:http://192.168.2.14/pikachu/vul/overpermission/op2/op2_login.php
1.先登录普通用户pikachu查看权限
2.再登录管理员账号admin查看权限
3.观察添加操作和删除操作
添加URL:/pikachu/vul/overpermission/op2/op2_admin_edit.php
删除URL: /pikachu/vul/overpermission/op2/op2_admin.php?id=25
4.管理员退出,登录普通用户,访问添加url,点击创建后返回用户列表查看,成功添加用户
5.访问删除url,返回用户列表查看没有变化,删除操作不存在越权
6.2.3 修复建议
服务端需校验身份唯一性,自己的身份只能查看、修改、删除、添加自己的信息。