面试官:什么是垂直越权?有哪些解决方案?

于 2024-01-16 21:27:39 发布
阅读量726 收藏 8
点赞数 10
文章标签: 后端 架构 java spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011919808/article/details/135635835
版权
本文探讨了垂直越权问题,通过实例解释了其发生原因,提出了接口级校验、网关级校验和接口签名三种解决方案,强调了在IT开发中进行有效权限控制的重要性。
摘要由CSDN通过智能技术生成

什么是垂直越权?

假如系统中有一个删除数据的接口,这个接口正常情况下只有管理员登录到管理台才能调用到这个接口,但是有一个用户小勇,一个调皮的程序员,他猜到了这个接口的URL,然后用postman直接调用了删除接口,哦吼,数据被删了,这就是垂直越权,本来用户没有权限,但是通过某种手段向上拿到了更高的权限。

这种场景出现的原因,一方面是小勇太聪明加胆子大,另外一方面是接口没有做权限验证,所以,开发时,我们不能假定该接口只会被管理员调用,而应该做到该接口只能被管理员调用。

我给大家列三种解决方案,大家看看哪种方案最好。

接口级校验

第一个想到的思路就是在接口内做校验,判断当前请求的用户是不是管理员,如果不是,则拒绝请求,伪代码:

@DeleteMapping
public Result delete() {
    User user = session.getUser();
    if (!user.isAdmin()) {
        return Result.error();
    }
    // 正常处理
    return Result.ok();
}

这样,不管小勇多么聪明,都不能调用成功了,除非他拿到了管理员的登陆cookie~,这种方案需要改造每个接口,工作量太大,业务同事不同意,说能不能在网关层面统一做校验呢?

网关级校验

作为网关,是所有请求的入口,它能知道:

  1. 当前请求调用的是哪个接口,请求url
  2. 当前请求的用户是谁

但是网关还需要解决:

  1. 得判断当前请求的用户是不是管理员,或者如果把权限控制做得更细,还需要获取当前用户有哪些权限,这得查数据库,有点影响网关的性能
  2. 另外如果小勇确实拿到了管理员的cookie,把自己伪装成了管理员,网关又该如何拦截呢?

接口签名

肯定还是在网关做,不过可以这么做。

前端页面在调用接口时,在请求头设置一个签名key,这个签名的内容包括接口url、页面url、uid、其他干扰数据,签名表示哪个人在哪个页面调用了哪个接口。

签名算法保密,除非小勇跟我们前端小姐姐比较熟,不然他是不知道签名内容格式和算法的。

网关拿到请求后,取请求头中的签名key,如果请求头中没有,则拒绝该请求,如果有,则按商量好的签名算法解签,如果解签失败,也拒绝该请求,解签成功,则比对签名内容,比如判断session中的uid是不是等于签名中的uid。

这样,对于小勇来说,就算他能猜到url,就算他能拿到cookie,他还得知道签名key的内容和算法,不然他发送的请求中没有签名请求头,网关会拒绝掉该请求,或者传一个错误的签名也会被拒绝。

总之,现在小勇想要胡乱调用我们的接口变得更难了。

不过大家注意,这个签名并不是万能的,比如小勇搞定了我们前端小姐姐,那该怎么办呢?

希望得到你的点赞和分享,我是大都督周瑜,我们下次见,我的公众号:IT周瑜。

爱读源码的大都督
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Burp入门第十三篇】使用BurpSuite实现垂直越权+升级用户实战案例
等风来
04-06 544
越权方法:使用低权限会话cookie替换高权限请求包中的cookie。案例场景:拥有高权限账户密码。将该请求包发送至重放器。
越权漏洞风险及解决方案
热门推荐
Java相关领域
03-22 1万+
常见越权有水平越权垂直越权和数据越权
横向越权、纵向越权问题解决
zz0129的博客
06-29 4487
横向越权:横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源 纵向越权:纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源对于纵向越权,我们可以通过设置用户角色,为不同的角色提供不同的权限来避免。对于横向越权,就比较麻烦了,横向越权可能出现的场景有:在用户忘记密码重置密码时,回答对了问题进入密码重置阶段时,如果知道其他用户用户名,很容易改变此用户的密码,然后就可以进行越权访问了。   ...
网络安全之垂直越权漏洞讲解.mp4
11-13
越权漏洞一般包括平行越权垂直越权。对平行越权漏洞防护中,增加访问与操作对象的用户属性,在对目标对象进行访问与操作时,服务端校验会话与对象的用户属性,在校验通过后才能执行读取和操作。
垂直越权漏洞的修复
u011651342的博客
05-23 1万+
前段时间我参与的项目被公司的安全部门检测出垂直越权的安全漏洞,我组长让我负责修复一下。 首先我查阅了一下什么是越权,以及什么是垂直越权。 (一)越权以及垂直越权 越权访问漏洞指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能,在实际的代码审计中,这种漏洞往往很难通过工具进行自动化监测,因此在实际应用中危害很大。其与未授权访问有一定差别,目前存在着两种越权操作类型,横向越权操作(水平越权)和纵向越权操作(垂直越权) 水平越
水平越权访问与垂直越权访问漏洞的解决办法
weixin_36098377的博客
05-12 7090
1、 水平越权访问与垂直越权访问漏洞 越权访问漏洞 越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。 该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。越权访问漏洞主要分为水平越权访问和垂直越权
web漏洞-逻辑越权之水平垂直越权全解(33)
san3144393495的博客
06-11 2297
未授权访问,:比如我们访问网站的后台,网站的后台有一些操作需要管理员才能操作的,其他的用户是操作不了的,如果有未授权访问就相当于任何人都可以去操作他,比如是后台地址,操作的应用,不需要的登陆直接操纵,这就是未授权访问,没用进行权限验证导致的安全问题,第二个数据,在数据头里面有一个叫card_id的,后面跟着一堆数字这就是给编号,后面编号不同,所对应的用户也不同,就好比一些网站id=1就是admin用户,id=22的时候就别人注册的用户,是一个道理,这里也是一个可以操作的地方。
垂直越权漏洞临时解决方案
liyanjie12的博客
11-15 1191
垂直越权漏洞临时解决方案
33 WEB漏洞-逻辑越权之水平垂直越权全解-附件资源
03-02
33 WEB漏洞-逻辑越权之水平垂直越权全解-附件资源
Web应用安全:页面越权越权访问的处理.docx
06-17
为了解决这个问题,每家企业都有其方法来保证企业内部数据的安全性。 一、页面越权越权访问的概念 页面越权越权访问是指用户没有登录的情况下访问系统管理菜单,或者已经登录的用户访问了不具备访问权限的页面。...
数据库动态脱敏解决方案.docx
10-19
数据库动态脱敏解决方案是指对企业各类用户对数据库的访问行为进行动态脱敏的系统。该系统可以实时对数据库响应数据进行脱敏,可以针对人员、权限、客户端、主机、时间等不同维度配置脱敏策略,针对待脱敏数据可以...
【访问控制】垂直越权、水平越权、业务逻辑漏洞详述
最新发布
weixin_55205599的博客
11-16 304
例如 身份ID(用户ID、账号、手机号、证件号等用户唯一标识)垂直越权:一个低权限用户尝试访问高权限用户的资源、或者高权限用户访问低权限用户资源。访问其他用户的账户,查看敏感文件,修改其他用户的数据,更改访问权限等。:用户在使用网站的使用产生的属性ID(如订单号、记录号、地址id等)1、越权漏洞:超越设定的权限和控制去访问未经授权的功能或数据。的其他用户的数据、修改拥有相同权限的其他用户的数据。:网络赋予用户的唯一标识,通过该标识确定用户。水平越权基于属性id(多个属性id同时变化)
【Web安全从入门到放弃】08_平行越权垂直越权漏洞
xhxtalent的博客
12-13 3806
08_越权漏洞 越权漏洞概述 由于没有用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)范围内的操作。 平行越权: A用户和B用户属于同一级别用户,但各自不能操作对方个人信息, A用户如果越权操 作B用户的个人信息的情况称为平行越权操作 垂直越权: A用户权限高于B用户, B用户越权操作A用户的权限的情况称为垂直越权越权漏洞属于逻辑漏洞,是由于权限校验的逻辑不够严谨导致。 每个应用系统其用户对应的权限是根据其业务功能划分的,而每个企业的业务又都是不一样的。 因
越权访问(Broken ACCESS Control)说明及解决方案
半夏_2021的博客
04-29 9834
越权访问(Broken ACCESS Control,简称BAC)是一种很常见的逻辑安全漏洞,是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web 应用十大安全隐患的第二名。 越权访问呢可以理解为服务端对客户端提出的数据操作请求过分的信任,一个用户一般只能对自己本身的信息进行增删改查,然而由于后台开发人员的疏忽,没有 在用户进行增删改查时进行用户判断。忽略了该用户的权限判定,导致攻击账户拥有了其他账户的增删改查。
渗透测试-越权漏洞之垂直越权和水平越权
lza20001103的博客
05-04 10000
越权漏洞之垂直越权和水平越权
网络安全笔记 -- 逻辑越权(水平垂直越权
swy66的博客
09-15 3278
水平越权垂直越权
(33)【水平垂直越权专题】越权的原理、产生原因、危害、漏洞利用过程……
04-11 2522
水平垂直越权从0到1
逻辑漏洞-水平/垂直越权-pikachu
qq_43660551的博客
06-25 473
成因:后台使用了不合理的权限校验规则导致的。 越权漏洞容易出现的场景:一般在权限页面(需要登录的页面)增、删、改、查的的地方 分类:水平越权垂直越权 一:水平越权:同级别用户访问别人的资源。 登录,用户名:lucy,密码:123456 登录,用户名:lili,密码:123456 对比两者的登录链接,发现只有username不同,故将lili的值改成kobe,回车,发现登陆了kobe的账号。 二:垂直越权:低级别权限的用户访问高级别用户的资源。 登录pikachu密码:00000
逻辑越权之水平垂直越权
告白的博客
08-02 343
0x00 水平垂直越权漏洞简介 逻辑越权漏洞主要是代码层面逻辑漏洞,不会向sql注入类似的漏洞直接对网站造成危害,但是很多情况下通过逻辑越权也可能造成网站的重要信息泄露,在很多src平台,也会将此类漏洞批判为中高危漏洞, 水平越权:假如一个公司存在A,B,C普通员工,通过A员工获取到B员工的信息以及相关操纵成为水平越权,伦理上来讲他们具有相同的权限,但是可能具备不一样的信息,通过更换的某个ID之类的身份标识,从而使A账号获取(修改、删除等)B账号数据 垂直越权:通过普通员工A获取到管理员C以及更高的权
Javaweb越权是什么? 怎么防御
02-23
中文越权指的是在Java Web应用中,攻击者可以通过欺骗应用程序来访问和控制受限的资源,比如数据库表中的数据。为了防止越权,应使用安全的编程技术,如加密数据,筛选用户输入,使用访问控制列表(ACL)等。此外,还可以使用安全策略,如严格的身份验证和会话控制,以及持续的安全审计,以发现和报告潜在的越权行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值