Web漏洞安全-失效访问权限控制

VIP文章 已于 2022-07-18 17:56:27 修改
阅读量893 收藏 1
点赞数
分类专栏: 安全漏洞 文章标签: 安全
于 2022-07-18 16:35:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37689012/article/details/125852275
版权

文章目录

访问控制

那么什么是访问控制呢?访问控制是一种策略,在这种策略的控制下,用户的操作不能逾越预设好的权限边界。而访问控制一旦失效通常会导致未认证信息泄露、内部数据篡改、数据删除和越权操作等后果。访问控制失效型问题通常有以下几种类型:

  1. 系统在实现过程中违背了“最小权限原则” 或 “默认拒绝原则”,在这种情况下用户可以获得一些特殊权限,而这些特殊权限原本只应该授权给特定的用户或角色;
  2. 通过修改 URL 地址、内部程序状态、HTML 页面,或者使用 Cyber 工具修改 API 请求的方式绕过访问控制
  3. 通过提供唯一 ID 的方式预览或者修改其他账户信息及数据;
  4. 未经过访问控制地通过 POST、PUT 和 DELETE 方法访问 API;
  5. 通常意义上的提权,比如未登录状态下的用户操作,或者常规用户登录状态下的管理员操作;
  6. 元数据操纵,比如重放或者修改 JWT(JSON Web Token)访问控制令牌,或者通过操纵 Cookie 的方式进行提权;
  7. CORS 误配置,可以导致来自未认证源的 API 访问。

这里我们首先来看几种简单攻击场景。

  1. 这个应用在 SQL 调用中直接使用了未经验证的数据,并利用该数据进行信息查询:

pstmt.setString(1, request.getParameter("acct"));
ResultSet results = pstmt.executeQuery();

对于一个攻击者而言,只需要简单地在浏览器地址栏中修改 acct 参数,即可对 SQL 语句进行操纵,而在未经验证的情况下,该攻击者可以访问到其他账户的信息。


https://example.com/app/accountInfo?acct=notmyacct
  1. 一个攻击者可以很轻松地修改 URL 地址,尝试去访问他的目标链接,比如这里攻击者试图通过 URL 地址修改直接访问 admin 页面:

https://example.com/app/getappInfo
https://example.com/app/admin_getappInfo

如果攻击者成功访问了第二个链接ÿ

最低0.47元/天 解锁文章
思想是一切事物的源头
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
访问控制列表(ACL)错误:错误配置ACL,导致不当访问
ZOMO的博客
12-25 1303
如果AC L配置错误,那么它将无法达到预期的保护作用,反而可能导致不当的网络行为发生,如非法访问和恶意攻击等。企业还应当建立严格的访问控制系统,以确保只有经过验证的用户和系统才能访问公司的网络和机密信息。这些方法可以帮助企业在网络环境中建立更强大和安全的防护体系,减少不当的网络行为和不法分子对企业信息的侵犯,从而更好地保护企业的利益和网络安全。这意味着企业在没有明确的安全政策下运行其网络,这将使得内部和外部的网络用户可以轻松地绕过企业的安全措施并访问其敏感信息。
OWASP列举的Web应用程序十大安全漏洞 - 失效访问控制
qq_31142237的博客
02-11 729
OWASP列举的Web应用程序十大安全漏洞 - 失效访问控制
WEB漏洞原理】失效访问控制_失效访问控制
最新发布
2301_76328475的博客
04-12 900
Redis 是非关系数据库系统,没有库表列的逻辑结构,仅仅以键值对的方式存储数据Redis 数据库经常用于Web 应用的缓存Redis 可以与文件系统进行交互Redis 监听TCP/6379在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。
逻辑漏洞概述
weixin_59872639的博客
03-03 5436
访问控制 在某种程度上来说,信息安全就是通过控制如何访问信息资源来防范资源泄露或经授权修改的工作。 访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。 访问是主体(Subject)和客体(Object)之间的
2021 OWASP TOP 1: 失效访问控制
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
07-07 6583
2022 OWAP TOP 1 学习总结,什么是失效访问控制?包含了哪些漏洞
Web安全—权限控制漏洞总览(持续更新)
weixin_44431280的博客
02-07 501
旨在记录学习过程,漏洞分类中的权限控制漏洞中,常见的可能就是逻辑越权漏洞,还有其他的例如授权漏洞等等 相关文章: Web安全—逻辑越权漏洞(BAC)
WEB十大安全漏洞(OWASP Top 10)与渗透测试记录
qq_33163046的博客
04-27 7174
WEB安全的主要类每年都要较小的变化。熟练掌握最常见的WEB漏洞是渗透工作的展开的重要基础。
Web安全访问控制及权限提升漏洞
cj_Hydra's Blog
04-23 2340
一、什么是访问控制? 简单的来说就是应用程序首先会判断用户的身份(账号密码登录),随后确认后续请求是否由该用户发出(会话管理),然后判断是否允许用户执行“所请求的操作”或访问“所请求的资源(访问控制)” 1、从用户角度访问控制分为以下类: 垂直访问控制控制不同权限等级的用户访问应用程序不同的功能;如“管理员”可以修改/删除账号,而普通账号无法操作。 水平访问控制控制用户只能访问自己的资...
Web安全之权限攻击
brizer的博客
09-08 7047
权限攻击可以分为水平权限攻击和垂直权限攻击。水平权限攻击水平权限攻击,也叫作访问控制攻击。Web应用程序接收到用户请求,修改某条数据时,没有判断数据的所属人,或者在判断数据所属人时从用户提交的表单参数中获取了userid。导致攻击者可以自行修改userid修改不属于自己的数据。所有的更新语句操作,都可能产生这个漏洞。攻击我们来看看攻击案例,Web应用在修改用户个人信息时,从用户提交的表单中获取use
Web应用安全评估参考手册
09-05
为80页PDF文件,包括最常见的web... 信息泄露、信息猜解、防护功能失效、业务逻辑漏洞、重放攻击、权限缺失、综合利用、中间件以及框架常见漏洞、其他的常见漏洞 漏洞的归类划分界限并没有那么清晰,大家可以忽略
数据库系统安全管理设计.doc
01-08
所 有的应用必须遵照元数据系统的数据安全定义,进行数据安全控制,才能够保证所有应 用的数据访问策略保持一致,杜绝数据安全漏洞。 但目前,建设元数据系统还缺乏足够的条件,所以数据的安全管理只能在应用或者门 ...
数据库系统安全管理设计(1).doc
01-08
所 有的应用必须遵照元数据系统的数据安全定义,进行数据安全控制,才能够保证所有应 用的数据访问策略保持一致,杜绝数据安全漏洞。 但目前,建设元数据系统还缺乏足够的条件,所以数据的安全管理只能在应用或者门 ...
KODExplorer 芒果云-资源管理器
07-16
- 修复漏洞:创建副本加入权限控制。和拖文件拽权限一致 - 文件上传失败检测 - 树目录同步优化 ###ver2.5 `2014/6/15` ---- ####update: - 增加创建副本功能 按住ctrl拖拽即可,可以到当前,也可以到文件夹。 ...
Web安全访问控制
RexHa的博客
12-21 1181
系统只验证了能访问数据的角色,既没有对角色内的用户做细分,也没有对数据的子集做细分,因此缺乏一个用户到数据之间的对应关系。在RBAC这种“基于角色的访问控制”的模下,系统只会验证用户A是否属于角色RoleX,而不会判断用户A是否只能访问只属于用户B的数据DataB,因此,发生了越权访问,这种问题我们就称为“水平权限管理问题”RBAC事先在系统中定义出不同的角色,不同角色有不同权限,一个用户可能拥有多个角色,角色之间有高低之分,在系统验证权限时,只需要验证用户所属的角色,再根据角色的权限进行授权。
Web权限&权限划分
weixin_54882883的博客
08-29 1466
后台或网站权限后的获取途径:后台(修改配置信息功能点),网站权限(查看的配置文件获取),系统中 API 暴露到互联网上会存在一定的安全风险,: 爬虫、恶意访问等等。操作数据库的权限,数据库的增删改等,源码或配置文件泄漏,也可能是网站权限(webshell)进行的数据库配置文件读取获得。那么权限提升他的意义就是:当前的权限无法满足需要的操作,通过权限提升的技术,提升当前的权限来实现想要的操作。Web权限其实就是网站权限,获取Web权限其实就是获取这个网站的权限。管理员UID为0:系统的管理员用户。...
WEB中的权限管理(二)
qq_40981282的博客
07-08 285
Spring security框架简介 简介 一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制嘛),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户...
web层的权限维持
Nginxx的博客
11-17 2451
前言 在实战渗透中,经常需要上传webshell来完成对目标的权限维持。通过各种方法来构造一个免杀的webshell后门来实现webshell层面的权限维持是大家比较通用的方法,但是除了简单粗暴的写php免杀马,实战中还有一些小技巧值得去学习,毕竟除了要绕过各种waf的防护,还需要绕过“人肉waf“ 管理员的火眼金睛,因此本文将分享一些在web层权限维持常用的方法和技巧。 隐藏webshell 隐藏webshell是web层维持权限的基本方法,但是如果直接写php文件,哪怕是源码免杀,也很容易被管理员发现,
web安全开发指南--权限管理
weixin_30538029的博客
01-04 202
2.1 访问控制安全规则 1 访问控制必须只能在服务器端执行。 2 只通过session来判定用户的真实身份,避免使用其它数据域的参数(比如来自cookie、hidden域、form和URL参数等)来做访问控制。 3 对web/应用服务器进行安全配置以防止用户对静态文件的无鉴权...
失效访问控制的应对方案和解决办法
04-21
失效访问控制是指用户在授权期间结束之后仍然可以继续访问系统资源。为了防止此类安全漏洞,应采取以下方案和解决办法: 1.建立合适的访问控制策略,以确保授权期限的正确管理。 2.使用无状态令牌,如JWT(JSON ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值