摘 要
Web 应用通常用于对外提供服务,由于具有开放性的特点,逐渐成为网络攻击的重要对象,而漏洞利用是实现 Web 攻击的主要技术途径。越权漏洞作为一种常见的高危安全漏洞,被开 放 Web 应 用 安 全 项 目(Open Web Application Security Project,OWASP) 列 入 10 个 最 关 键Web 应用程序安全漏洞列表。结合近几年披露的与越权相关的 Web 应用通用漏洞披露(Common Vulnerability and Exposures,CVE)漏洞,通过分析 Web 越权漏洞成因和常见攻击方法,提出了针对 Web 越权漏洞攻击的防范方法。
内容目录:
1 常见 Web 越权漏洞分析
1.1 Apache Superset 身份验证绕过漏洞
1.2 Joomla 未经授权访问漏洞
1.3 Alibaba Nacos 访问控制漏洞
1.4 Zabbix 身份认证绕过漏洞
1.5 Apache ShenYu 身份验证绕过漏洞
2 Web 越权漏洞成因分析
3 Web 越权漏洞攻击方法
3.1 Web 越权漏洞攻击模式
3.2 Web 越权漏洞攻击流程
4 Web 越权漏洞防范方法
5 结