一、越权漏洞概述
由于没有用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以完成高权限账号(比如超级管理员)范围内的操作
1. 水平越权:
A用户和B用户属于同一级别用户,但各自不能操作对方个人信息,A用户如果越权操作B用户的个人信息的情况称为水平越权操作
2. 垂直越权:
A用户权限高于B用户,B用户越权操作A用户的权限的情况称为垂直越权
越权漏洞属于逻辑漏洞,是由于权限校验的逻辑不够严谨导致
每个应用系统其用户对应的权限是根据业务功能划分的,而每个企业的业务又都是不一样的
因此,越权漏洞很难通过扫描工具发现出来,往往需要通过手动进行测试
二、常见越权漏洞演示:水平越权
第一步:先根据提示登录,登录lucy的信息
第二步:点击查看个人信息
我们发现,lucy的信息是通过username参数以get请求方式提交的,我们试试可不可以修改username参数查看其他人信息?
第三步:修改url参数的内容
如图,直接返回了lili的个人信息。因为当前是以用户名为lucy登录的,但通过修改username参数直接查询到了lili的个人信息,而lili和lucy属于同一级别用户,所以存在水平越权漏洞。
第四步:查看部分源代码
$link=connect();
// 判断是否登录,没有登录不能访问
if(!check_op_login($link)){
header("location:op1_login.php");
}
$html='';
if(isset($_GET['submit']) && $_GET['username']!=null){
//没有使用session来校验,而是使用的传进来的值,权限校验出现问题,这里应该跟登录态关系进行绑定
$username=escape($link, $_GET['username']);
$query="select * from member where username='$username'";
$result=execute($link, $query);
if(mysqli_num_rows($result)==1){
$data=mysqli_fetch_assoc($result);
$uname=$data['username'];
$sex=$data['sex'];
$phonenum=$data['phonenum'];
$add=$data['address'];
$email=$data['email'];
$html.=<<<A
判断是否为登录态
三、常见越权漏洞演示:垂直越权
先抓取超级管理员修改账户信息的数据包,然后退出超级管理员身份的登录,切换到普通管理员的身份,然后用普通管理员的身份将该数据包进行重放,查看是否操作成功。
第一步:先用超管用户登录
第二步:添加用户
第三步:打开浏览器代理,用burp抓包
把这个请求发送到 Repeater 中,然后退出管理员账号,重放这个数据包,这时候用户是会添加失败的,因为没有登录状态
添加成功
第三步:登录普通用户pikachu
发现普通用户只有查看权限
burp抓包
第四步:将普通用户的cookie复制到超户
然后刷新页面,发现又新增了一行,这就是垂直越权漏洞
四、越权漏洞防范措施
1、前后端同时对用户输入信息进行校验,双重验证机制
2、 执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限
3、特别敏感操作可以让用户再次输入密码或其他的验证信息。
4、可以从用户的加密认证 cookie 中获取当前用户 id,防止攻击者对其修改。或在 session、cookie 中加入不可 预测、不可猜解的 user 信息。
5、直接对象引用的加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理
6、永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤
431
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
