web越权访问
越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。
越权访问漏洞的产生
比如,某个订单系统,用户可以查询自己的订单信息。A用户查询订单时,发送的HTTP请求中包含参数“orderid=A”,订单系统取得orderid后最终会查询数据库,查询语句类似于“select * from tablename where orderid = A”。B用户查询订单时,发送的HTTP请求中包含参数“orderid=B”,系统查询数据库语句类似于“select * from tablename where orderid = B”。正常情况下,每个用户只会查询到自己的订单。但是,当B用户将自己的HTTP请求参数修改为“orderid=A”,那么最终B用户执行的数据库语句变成了“select * from tablename whereorderid = A”,导致A的订单信息被B用户获取到了。
一般来说,网站设计者会用户的访问进行权限校验,确保用户仅能访问到属于自己的资源,但是业务复杂到一定程度之后,诸如此类的数据如此之多,从订单信息,到地址数据、支付信息等等,无一不需要小心处理。一旦有所疏漏,就会产生越权访问漏洞。
越权访问概述
越权访问分为垂直越权访问和水平越权访问。
垂直越权是指不同用户级别之间的越权,如普通用户执行管理员用户的权限。水平越权是指相同级别用户之间的越权操作。本文重点介绍水平越权访问。
水平越权示意图:
水平越权:假设用户A和用户B属于同一角色X,拥有相同的权限等级,他们能获取自己的私有数据(数据A和数据B),但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据(数据B),那么用户A访问数据B的这种行为就叫做水平越权访问。
垂直越权访问示意图:
垂直权限攻击:又叫做权限提升攻击。其原理是由于Web应用没有做权限控制,或仅仅在菜单上做了权限控制,导致恶意用户只要猜测其他管理页面的URL,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。
越权的判定标准
1 返回页面中包含敏感信息(保单号,身份证号,手机号、地址、邮箱.......)
2 通过请求参数获取敏感信息
3 请求参数可预测,如(id=1、user=username、policy_no=85000001)
如:
http://zhaopin-temp.sinosig.com:7001/zhaopinXY/upload.do?cmd=doUpdate2&appid=2202155421
http://eoa.sinosig.com/km/address/km_address_person_main/kmAddressPersonMain.do?method=view&s_css=default&fdId=CAWlDFmVr7JWdzf5WSyfIcBTrpGUyUyy&flag=1
在返回敏感信息处抓取数据包,参数可预测并且未对用户身份进行校验,导致遍历参数值,可获取该功能点上其它用户的信息
Web网络越权访问是网络安全问题的重要成员之一,解决好web越权访问问题尤为重要。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
