owasp-A?-权限

最新推荐文章于 2022-07-07 22:41:36 发布
最新推荐文章于 2022-07-07 22:41:36 发布
阅读量234 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/silencediors/article/details/105983971
版权

owasp 13和17对于权限类漏洞有过一次整合,所以不按照他的套路来,自己说说。

从权限本身的缺陷来说,无非就3类,未授权,水平越权,垂直越权。

未授权是指匿名或者未登录用户可以直接访问登陆后的某些功能页面或者使用某些数据交互功能。

水平越权是指同水平用户之间可以访问对方的信息或篡改对方的信息。

垂直越权是指向上或向下的权限提升。为什么有向下,因为权限不仅仅只有上写下读,也有上读下写,这是n年前读书操作系统权限设计学习的。

从owasp角度来说,他们所提的也就是非安全的直接对象访问,功能级别的访问控制缺陷。

非安全的直接对象访问多指权限这一块的某对象可以互相访问,比如userinfo=1,去访问=2可以直接访问2用户的信息。可能造成水平,未授权,垂直等三种越权情况。修复方案多种,提出几种以供参考。1,对直接对象进行高强度加密,后端解密并拼接数据库查询。
2,对于直接对象和session中的对象进行比对,不同拒绝请求。
3,直接对象放session,再用session中的对象信息去请求,做到间接访问。

esapi提供了随机和顺序对象两种加固,咋加固的有空再研究,我估计不会脱离我说的3点。

功能级别的访问控制缺陷多指未授权和垂直越权,就是字面意思,不该使用的功能你可以越权使用,比如/usermanage的页面,普通用户或未授权用户可以直接访问并使用功能。修复方案是,依照group进行权限分类管理,当然使用esapi也提供了权限分类防御措施。

想画个圆圈包含图表现这几种权限缺失的包含关系来着,但是考虑到自己逻辑能力有点差,怕画错了闹误会,自行理解吧。上面大概说清楚了,有空再整理下格式。

silencediors
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全-越权(开发角度谈平行越权)
YX丶M
10-21 838
web安全-越权 越权分为:平行越权和垂直越权 越权:你没有权力做你要做的事情,但是你成功了,就是越权。 平行越权:可以代替同一角色的用户进行操作。 垂直越权:代替执行不属于自己的权限的操作。 从PHP 新手开发角度来看 越权一般就是 没有做权限校验。 第一种 管理员可以看到的信息, 普通用户看不到,但是 开发认为url 骇客 不知道没有做用户权限校验。 第二种 相信前端发送的信息,并没有校验...
OWASP TOP 10 漏洞指南(2021)
一期一会的博客
02-11 8636
什么是OWASP TOP 10? OWASP,全称“开放式Web应用程序安全项目”是一个非营利性的组织,2003年该组织首次出版了“Top 10”,也就是10项最严重的Web应用程序安全风险列表。 Top 10 总结了Web应用程序最可能、最常见、最危险的十大安全漏洞。 近几年OWASP TOP的变化 A1 失效的访问控制 概述 失效的访问控制,也叫越权,攻击者通过各种手段提升自己的权限,越过访问控制,使访问控制失效,这样攻击者就可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。
2021 OWASP TOP 1: 失效的访问控制
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
07-07 6805
2022 OWAP TOP 1 学习总结,什么是失效的访问控制?包含了哪些漏洞?
OWASP WebGoat---安全测试学习笔记(二)---访问控制缺陷
光明矢的专栏
04-13 5618
访问控制缺陷(Access Control Flaws)
OWASP十大攻击类型详解
weixin_30699465的博客
10-29 964
随着WEB应用技术的不断进步与发展,WEB应用程序承载了越来越多的业务,而随之而来的也是WEB应用所面临的越来越复杂的安全问题。而WEB日志作为WEB安全的一个重要组成部分,不但可在事后起到追踪和溯源的作用,更能在日常维护作为安全运维工作的重要参考依据。 一、OWASP的安全威胁 OWASP(开放Web软体安全项目-OpenWebApplicationSecurityPro...
owasp-mstg: The Mobile Security Testing Guide (MSTG)是一本全面的移动应用安全开发、测试和逆向工程手册
01-27
4. **移动应用安全架构**:介绍如何设计和实现安全的移动应用架构,包括身份验证、数据加密、权限管理等方面。 5. **网络分析**:强调了对应用通信安全的测试,包括加密协议的正确使用、API安全、数据传输安全等。 ...
OWASPTOP10--2021文版.rar
06-26
OWASP(Open Web Application Security Project)是全球知名的开源安全组织,致力于提高软件安全意识和实践。其每年发布的“OWASP Top 10”是业界公认的重要安全指南,列出了当前网络应用面临的十大最严重安全风险。...
security-demo:OWASP TOP10&ESAPI 演示
07-12
8. **A8 - 不安全的直接对象引用**:允许攻击者通过直接引用访问内部对象,绕过权限控制。 9. **A9 - 使用脆弱的身份认证**:不安全的身份验证机制容易被破解,使账户易受攻击。 10. **A10 - 未能记录和响应安全事件...
DVWA靶场,集成了owasp top 10漏洞
03-28
这个靶场集成了OWASP(Open Web Application Security Project)的Top 10漏洞,这些是网络应用最常见且最具危害性的安全问题。通过在DVWA实践,用户能够深入理解漏洞的原理,学习如何识别它们,以及如何利用这些...
www-chapter-brasilia:OWASP Foundation Web存储库
05-06
- 安全设计原则:在设计阶段就考虑到安全,比如最小权限原则、输入验证和错误处理等。 - 社区参与:如何加入OWASP社区,参与讨论、贡献代码或参加本地活动。 总之,这个项目为对Web安全感兴趣的人提供了一个丰富的...
渗透测试pikachu水平越权+垂直越权
weixin_50699777的博客
04-23 1081
文章目录前言一、水平越权二、使用步骤1.引入库2.读入数据总结 前言 水平越权: 假设用户A和用户B属于拥有相同的权限等级,他们能获取自己的个人数据,但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据,那么用户A访问用户B的这种行为就叫做水平越权访问。 垂直越权:A用户权限高于B用户,B用户越权操作A用户的权限的情况称为垂直越权 一、水平越权 A用户和B用户属于同一级别用户,但各自不能操作对方个人信息。A用户如果越权操作B用户个人信息的情况称为水行越权操作
平行越权
yy228313的专栏
01-28 2961
系统描述:在如下图的会员系统,门户项目是使用纯html做页面的。 数据交互:html使用Ajax请求门户项目的一般处理程序--》门户项目请求接口项目的一般处理程序。 导致问题:门户项目即使做了登录验证,也存在平行越权的问题。 解决方法: 个人信息的查询--接口项目在返回的JSON添加会员卡号,该会员卡号需要和Session的会员卡号对比,一致才返回给页面。 提交--浏览器提交的
web安全:平行越权和垂直越权
坚持硬核
02-18 5026
目录 0x01:什么是越权 0x02:越权测试过程 0x03:常见越权漏洞 国航某网站可越权访问其他订单/涉及70W左右 暴风某站平行越权(用户敏感信息泄露) 0x01:什么是越权 越权访问漏洞指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能,在实际的代码审计,这种漏洞往往很难通过工具进行自动化监测,...
OWASP TOP10(2017年)
qq_34815358的博客
01-24 1829
13    OWASP TOP10(2017年) 注:OWASP是世界上最知名的Web安全与数据库安全研究组织 参考文档: https://blog.csdn.net/lifetragedy/article/details/52573897 http://www.sohu.com/a/139968130_669829 13.1    SQL注入 通过sql语句,插入到web表单提交或输入域名或页...
owasp十大_OWASP十大安全风险的三点替代方案
weixin_26722031的博客
07-30 1557
owasp十大For those who don’t know, the OWASP Top Ten is a list of common (web) application security concerns that are frequently referenced within the infosec community. If you’re applying for a positio...
OWASP列举的Web应用程序十大安全漏洞 - 失效的访问控制
qq_31142237的博客
02-11 735
OWASP列举的Web应用程序十大安全漏洞 - 失效的访问控制
web渗透--16--越权漏洞
热门推荐
武天旭的博客
09-12 1万+
1、漏洞描述 越权访问,这类漏洞是指应用在检查授权(Authorization)时存在纰漏,使得攻击者在获得低权限用户帐后后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查,这类漏洞往往很难通过工具进行自动化检测,因此在实际应用危害很大。其与未授权访问有一定差别。目前存在着两种越权操作类型:横向越权操作和纵向越权操作。 ...
跨域访问越权问题
hlmi1的好了米
12-21 787
跨域访问越权问题我们都知道Internet通信协议可以分为有状态协议和无状态协议,而我们在WWW上进行的访问HTTP协议是一个无状态协议,这种协议无法将用户的一个请求与另一个关联,这样有怎么能让我们在网络购物的时候添加商品呢?!而会话可以被看成一个与单个用户相互关联的对象,会话跟踪技术可以帮助每个用户在Web应用程序的特定数据,当然它也可以区分不同用户在同一个Web应用程序的数据,这样我们就能使
越权类漏洞检测总结
yib0y的博客
05-04 2676
平时遇到的一些零星的安全问题,总结一下: 1.在SDL,越权类漏洞如何检测? 在应用安全实践,目前已知的OWASP TOP10 很多都是可以通过框架或者一些组件解决的,再加上DAST/IAST/SAST这些产品的集成,一般的漏洞类型都是可以检测出来的并处理掉的,但是业务逻辑类漏洞是个例外,以至于现在很多的SRC上爆出来的都是越权这类的业务逻辑类漏洞,越权类漏洞分3种,未授权访问/平行越权/垂直...
OWASP-vbox
最新发布
10-12
OWASP-vbox 是一个基于 VirtualBox 的虚拟机,旨在为安全测试人员提供一个预先配置好的环境,以进行各种安全测试和漏洞利用。 该虚拟机包含了许多流行的安全工具和漏洞利用框架,如 Metasploit、Burp Suite、SQLMap...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值