安全测试之不安全的直接对象引用

最新推荐文章于 2024-08-02 10:57:12 发布
最新推荐文章于 2024-08-02 10:57:12 发布
阅读量7k 收藏 9
点赞数 1
分类专栏: 安全测试 文章标签: 安全测试 不安全的直接对象引用 防御措施
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quiet_girl/article/details/50600074
版权

一、不安全的直接对象引用的概念

不安全的对象直接引用(Insecure direct object references),指一个已经授权的用户,通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。

二、不安全的直接对象引用出现的原因

  1. Web应用往往在生成Web页面时会用它的真实名字,且并不会对所有的目标对象访问时来检查用户权限,所以这就造成了不安全的对象直接引用的漏洞。

  2. 服务器上的具体文件名、路径或数据库关键字等内部资源被暴露在URL或网页中,攻击者可以尝试直接访问其他资源。

三、不安全的直接对象引用的实例

某网站的新闻检索功能可搜索指定日期的新闻,但其返回的URL中包含了指定日期新闻页面的文件名:http://example.test/online/news.asp?item=28Jan2016.html

攻击者可以尝试不同的目录层次来获得系统文件win.ini,例如,http://example.test/ online/news.asp? item=../../ winnt/win.ini。

澳大利亚税务局网站曾发生一位用户通过修改网站URL中的ABNID号而获得直接访问17000家公司税务信息的事件。

三、不安全的直接对象引用的防御措施

对于此安全风险的防御,主要从使用非直接的对象引用和检查权限来考虑,具体包括以下:

  1. 避免在URL或网页中直接引用内部文件名或数据库关键字。

  2. 可使用自定义的映射名称来取代直接对象名,例如, http://example.test/online/news.asp?item=0245

  3. 锁定网站服务器上的所有目录和文件夹,设置访问权限。

  4. 验证用户输入和URL请求,拒绝包含./或../的请求。

nana-li
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
web渗透--46--不安全对象引用
武天旭的博客
09-22 3375
1、漏洞描述 在有不安全直接对象引用漏洞的情况下,通过修改用于直接检索对象的参数的值,攻击者就可以绕过授权对资源进行访问。被访问的资源甚至可以完全属于其他用户,也可以是系统文件等。该漏洞是应用程序未做充分授权检查的情况下,使用用户提供的输入数据对对象进行检索造成的。
软件测试之安全测试
Vegetable的博客
09-23 1916
文章目录一、引言1.1、为什么要学习安全测试以及什么是安全测试1.2、什么是安全测试 一、引言 1.1、为什么要学习安全测试以及什么是安全测试  为了安全、有效的进行权限控制、不能随意提交数据进行修改、避免跨站式脚本的攻击。我们偶尔会听到这么一些报道,说某个网站的首页被篡改,敏感数据被泄露或者是重要信息被更改。其实这些问题就是因为黑客利用了系统安全漏洞,对系统进行攻击导致而成,从而导致损失的代价也是不言而喻的。因此安全测试也成为了系统质量保证中必不可少的一部分,那么安全测试具体有什么好处呢? 提升产品的安
今儿个咱说说《不安全直接对象引用》!
weixin_33755554的博客
12-25 181
什么是不安全直接对象引用安全直接对象引用时,Web 应用程序公开给用户内部实现对象。内部实现对象的一些例子是数据库记录、 Url 或文件。攻击者可以修改内部实现对象中企图滥用此对象上的访问控制。当攻击者这样做他们可能有能力访问开发人员不希望公开访问的功能。 举个栗子 不安全直接对象引用是很多种类别的漏洞。有许多例子这些类型的由其...
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
最新发布
weixin_42340783的博客
08-02 946
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
安全直接对象引用
whoim_i的博客
11-21 5456
目录定义出现的原因场景案例如何防范 定义 不安全直接对象引用(IDOR)允许攻击者绕过网站的身份验证机制,并通过修改指向对象链接中的参数值来直接访问目标对象资源,这类资源可以是属于其他用户的数据库条目以及服务器系统中的隐私文件等等。 应用程序在SQL查询语句中直接使用了未经测试的数据,而攻击者可以利用这一点来访问数据库中的其他账号数据。 出现的原因 Web应用往往在生成Web页面时会用它的真实...
什么是IDOR(不安全直接对象引用)
weixin_43006749的博客
08-29 8779
自从2010年开始,不安全直接对象引用(IDOR)就已经成为了OWASP Top 10 Web应用安全风险中影响程度排名第四的安全漏洞了。 IDOR将允许一名授权用户获取其他用户的信息,意指一个已经授权的用户通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。Web应用往往在生成Web页面或服务时会用它的真实名字,且并不会对所有目标对象的请求访问进行用户权限检测,所以这就造成了不安...
安全直接对象引用:你的ASP.NET应用数据是否安全
12-22
【不安全直接对象引用】是指在Web应用程序中,数据对象如商品、用户记录或文件等,被直接通过其在数据库中的唯一标识符(如ID)进行访问,这可能导致敏感信息泄漏。当用户可以直接修改URL中的ID参数以访问其他对象...
安全测试指南
04-11
- 描述:包括功能级访问控制缺失和不安全直接对象引用。 - 示例: - 绕过后端验证:如果前端进行了权限控制但后端没有相应的校验,则攻击者可通过直接访问接口获取额外权限。 - 接口传输信息被篡改:例如,...
OWASP靶机、安全学习、测试
05-24
这里提供的是owasp靶机的下载,下载后直接...A4—不安全直接对象引用 A5—安全配置错误 A6—敏感信息泄漏 A7—功能级访问控制缺失 A8—跨站请求伪造(CSRF) A9—使用含有已知漏洞的组件 A10—未验证的重定向和转发
Insecure Direct Object References
weixin_30878361的博客
05-17 1131
目录 越权 分类 危害 解决越权访问 一些心得 Insecure Direct Object Reference 不安全对象是怎么直接引用的? 其它可能不安全对象直接引用 ...
Lab: Insecure direct object references:不安全直接对象引用
Zeker62的博客
08-24 608
靶场内容: 该实验室将用户聊天记录直接存储在服务器的文件系统上,并使用静态 URL 检索它们。 通过找到用户的密码carlos并登录他们的帐户来解决实验室问题。 漏洞分析: 这个就是在网站里面将聊天记录存储在文件里 而其他用户又可以访问这个文件,从而窃取别人的聊天记录 登录账户,选择live chat 随便发点什么东西,然后点view transcript 它会给你下载一个txt文件这个文件里...
安全直接对象引用漏洞(浅析)
09-09 633
漏洞定义 不安全直接对象引用,也被称IDOR。IDOR允许攻击者绕过网站的身份验证机制,并通过修改指向对象链接中的参数值来直接访问目标对象资源,这类资源可以是属于其他用户的数据库条目以及服务器系统中的隐私文件等等。导致这种情况出现的原因是,系统在接受用户输入并利用输入信息获取对象之前没有对用户身份权限进行检测。 漏洞利用场景 以BTS PenTesting Lab中...
BTS PenTesting Lab - A4 Insecure Direct Object References
zrools的博客
12-28 1010
安全直接对象引用 Viewing Details 源文件:/btslab/myprofile.php 关键代码地址http://192.168.1.228/myprofile.php?id=1 (需要先登录)像id=1这种容易猜测,如果没有判断权限,就容易出现信息泄露的问题,查询代码从头到尾都没有进行权限判断,只要任意登录用户都可以查询Modifying email ID 源文件:/btslab
OWASP: Insecure Direct Object References
拾月公子
12-23 553
OWASP: Insecure Direct Object References
BTS测试实验室 ---不安全直接对象引用
wkend的博客
11-02 732
0x00 什么是“不安全直接对象引用”? 浏览OWASP对该漏洞的说明 下面是2013年OWASP对不安全直接对象引用的说明: 0x01 回到题目 查看详细信息 首先用普通用户登入,如tom用户 查看tom用户的详细信息: 注意url中的参数id http://127.0.0.1/btslab/myprofile.php?id=4 改变该参数值,如http://127.0.0....
XVWA Insecure Direct Object Reference、Missing Functional Level Access Control
baynk的博客
04-06 453
0x00 Broken Access Control 在2017版中,Insecure Direct Object Reference和Missing Functional Level Access Control就被归到了Broken Access Control中了。 这里直接去看的owasp top ten,就将这两个结合起来一起学习了。 漏洞描述 通过修改URL、内部应用程序状态或HT...
WebGoat (A5) Broken Access Control -- Insecure Direct Object References (不安全直接对象引用)
箭雨镜屋
03-16 2240
第2页 这一页只需要以用户名tom,密码cat登录,以便后续操作。 第3页 这题要求找出response报文中未显示在网页上的属性。 只要按下View Profile之后对比网页显示的内容和burpsuite抓到的response报文就行 第4页 这一页要求用直接对象引用的方式来查看自己的profile。 从上一轮的burpsuite抓包可知,profile的路径是/WebGoat/IDOR/profile,而userId为2342384 试了WebGoat/IDOR/profi
SRC挖掘---web不安全直接对象引用 (IDOR)漏洞-3day
qq_62278422的博客
04-24 1322
什么是 IDOR? 当应用程序根据用户提供的输入提供对对象直接访问时,就会发生不安全直接对象引用 (IDOR)。由于此漏洞,攻击者可以绕过授权并直接访问系统中的资源,例如数据库记录或文件。不安全直接对象引用允许攻击者通过修改用于直接指向对象的参数值来绕过授权并直接访问资源。这些资源可以是属于其他用户的数据库条目、系统中的文件等等。这是因为应用程序接受用户提供的输入并使用它来检索对象而没有执行足够的授权检查。(来源:OWASP) 让我们看一个例子。想象一下,您正在使用一个文档共享平台。您可以上传..
http参数污染测试/不安全直接对象引用怎么测试
01-25
HTTP参数污染测试是指通过恶意修改URL参数、表单数据或者Cookie中的值,来绕过应用程序的安全防护机制,从而进行非法操作或者获取敏感信息的一种攻击手法。为了测试应用程序是否存在HTTP参数污染漏洞,可以按照以下步骤进行测试: 1. 理解应用程序的业务逻辑和参数处理机制。 2. 构建恶意的URL参数、表单数据或Cookie值,通过修改这些值来观察应用程序的反应。 3. 检查应用程序是否会对URL参数、表单数据或Cookie值进行合理的验证和过滤,防止恶意修改。 4. 尝试提交恶意数据,并观察应用程序的反应。如果应用程序没有对恶意数据进行过滤或验证,可能会导致HTTP参数污染漏洞。 5. 分析应用程序的返回结果,查看是否存在异常行为或者响应报文中包含了敏感信息。 不安全直接对象引用是指应用程序未经过适当的权限验证,就将直接对象引用传递给用户,从而导致用户可以未经授权地访问或修改其他用户的数据。为了测试应用程序是否存在不安全直接对象引用问题,可以按照以下步骤进行测试: 1. 理解应用程序的权限管理机制和对象之间的关系。 2. 尝试直接访问其他用户的数据,检查应用程序是否对权限进行验证,防止未授权访问。 3. 尝试修改其他用户的数据,检查应用程序是否对操作进行验证,防止未授权修改。 4. 观察应用程序的反应,检查是否存在未经授权的访问或者修改操作。 5. 分析应用程序的代码,确认是否存在不安全直接对象引用漏洞。 在测试过程中,需要注意保证测试环境的安全性,避免对真实生产环境或者其他用户的数据造成不必要的损害。同时,测试人员应该具备相关的安全知识和经验,以确保测试的准确性和有效性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值