Web安全系列——越权访问(权限控制失效)

最新推荐文章于 2024-04-26 22:03:48 发布
最新推荐文章于 2024-04-26 22:03:48 发布
阅读量671 收藏 1
点赞数 1
分类专栏: Web安全 文章标签: web安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windeal3203/article/details/133898588
版权

一、前言

越权访问是当前Web应用中最常见的安全风险之一。

本文将介绍越权访问的原理、风险以及典型攻击场景,并为开发者提供有效的防范措施,帮助构建安全的Web应用。

二、什么是越权访问

越权访问,是指用户在不具备相应权限(或者说业务逻辑上不应该具备相应权限)的情况下访问了受限制的资源或执行了不允许的操作。

出现越权访问一般是因为Web应用系统为建立合理的权限控制机制,或者权限控制机制失效。

三、越权访问(权限控制失效)的危害

权限控制失效的直接危害体现在两个方面

  • 数据泄漏: 攻击者可能通过越权访问获取敏感数据,比如获取用户个人信息、财务数据、家庭监控视频等。
  • 数据被恶意篡改: 攻击者可能通过越权访问修改,比如修改账户余额。

在直接危害的基础上,还会引申出更多的间接危害,比如

  1. 侵犯隐私: 获取他人的个人身份信息,从而侵犯他人隐私。
  2. 实施诈骗: 获取他人个人信息后转卖给诈骗集团实施诈骗。
  3. 法律责任与声誉损害: Web应用用户的个人信息数据被攻击者非法获取后篡改,导致用户利益损,Web应用提供商也可能面临法律责任,且企业的声誉也会受损。

四、越权的分类

  • 未授权: 用户未经授权就可以访问特定的对象或功能。
    • 对象级别:文件、数据库记录、页面组件等。如攻击者可以不经过鉴权通过篡改URL参数或直接访问数据库记录。
    • 功能级别:指用户访问未被授权的功能。 如普通用户不具备删除记录的权限, 攻击者通过技术手段绕过限制,实现了删除记录的操作
  • 水平越权(越界访问): 水平越权是指用户在同一权限等级下,访问与自己相同权限但归属于其他用户的资源或数据。例如,在企业OA系统中,一名普通员工在系统中看到了其同事的薪酬单。
  • 垂直越权(权限升级): 低权限用户执行高权限操作的情况,突破原有限制,进入受保护的资源和功能。例如,普通用户成功访问管理员控制面板或查看选定数据的情况。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

五、越权访问的典型案例

未授权访问案例:Capital One数据泄露事件

背景:

2019年,美国大型金融服务提供商Capital One遭受了一起数据泄露事件,泄露了约1亿名美国客户和约600万名加拿大客户的个人信息,包括姓名、社会保险号、地址、信用评分等。

实现缺陷:

Capital One在其AWS云基础设施中存在配置错误。攻击者通过服务器端请求伪造(SSRF)漏洞访问到了公司的AWS元数据服务密钥。

攻击者如何实现越权访问:

泄露事件中的攻击者利用漏洞获取了AWS元数据服务密钥,并进一步访问到存储在S3存储桶中的大量敏感信息。

水平越权案例: 2016年Gitlab任意文件读取漏洞:CVE-2016-9086 Detail

背景:

2016年,代码托管平台GitLab出现了一个权限控制漏洞,该漏洞允许任意已注册用户访问到其他组织的代码库。

实现缺陷:

GitLab未对代码库访问请求进行严格的权限检查。当用户创建一个属于已有的其他组织的代码库的导出请求时,GitLab没有正确验证请求者是否具有相应的访问权限。

攻击者如何实现越权访问:

攻击者可以通过创建一个属于其他组织的代码库的导出请求,利用这个漏洞实现越权访问其他组织的代码库,获取敏感信息。

垂直越权案例:某网络教育平台管理员权限漏洞

背景: 某网络教育平台的普通用户通过垂直越权漏洞,获得了管理员权限,导致学生个人信息被查看和下载。

实现缺陷: 该平台管理员控制台URL可被普通用户直接访问,并且未实施必要的权限验证来保护数据。

攻击者如何实现越权访问: 普通用户可能会在浏览器地址栏尝试修改URL,直接访问管理员控制台。在本案例中,平台未对请求者身份进行验证,导致攻击者获得了更高权限,访问了敏感数据。

六、越权访问的防护措施

通用防护策略与原则

  1. 最小权限原则:为用户分配最少权限,仅提供执行任务所需的功能和数据访问权。
  2. 统一身份认证和授权:实现统一的身份认证和授权,以便对所有访问请求进行权限检查。
  3. 访问控制列表(ACL):建立访问控制列表,明确指定谁可以访问哪些资源和执行哪些操作。
  4. 输入校验:验证用户提供的输入,防止恶意请求的注入。
  5. 日志和监视:记录用户活动及访问请求,并监视潜在的越权访问行为。
  6. 应用程序更新和安全补丁:定期更新应用程序,库和操作系统,及时修复已知漏洞。

未授权访问防护策略

  1. 密钥管理:将敏感信息(如API密钥、数据库连接字符串)保存在安全的密钥管理系统中,而不是直接保存在代码或配置文件中。
  2. 限制访问范围:配置访问控制列表和安全组,限制对访问受限资源的IP范围。
  3. 数据加密:对存储和传输的数据进行加密,保护数据的机密性。

水平越权防护策略

  1. 访问边界限制:在服务端实施限制,阻止用户访问属于其他用户的数据,尤其是在使用用户ID等参数查询数据时。
  2. 随机化资源标识符:使用难以猜测的随机资源标识符,避免攻击者通过简单的参数修改获取其他用户的数据。
  3. 对象级访问控制:在数据访问时检查请求者是否有权使用特定的数据对象,防止进一步的越权访问。

垂直越权防护策略

  1. 角色权限管理:使用基于角色的访问控制系统,明确定义用户和管理员可以访问的资源和操作。
  2. 严格访问控制策略:对管理员界面、功能和敏感操作实行严格的访问控制策略,确保仅具有适当权限的用户可以访问。
  3. 二次身份验证:对敏感操作和管理员权限实行二次身份验证(例如,短信验证码、邮箱验证)。

文章首发公众号

在这里插入图片描述

轮子学长
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web应用安全:Cookie参数越权.pptx
06-18
Cookie参数越权 Cookie参数越权 1、什么是水平越权 水平越权是指攻击者尝试访问与他拥有相同权限的用户资源。例如,用户A和用户B属于同一角色,拥有相同的权限等级,他们能获取自己的私有数据(数据A和数据B),但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据(数据B),那么用户A访问数据B的这种行为就叫做水平越权访问。 2、什么是Cookie Cookie是当你浏览某个网站的时候,由web服务器存储在你的机器硬盘上的一个小的文本文件。它其中记录了你的用户名、密码、浏览的网页、停留的时间等等信息。当你再次来到这个网站时,web服务器会先看看有没有它上次留下来的Cookie。如果有的话,会读取Cookie中的内容,来判断使用者,并送出相应的网页内容,比如在页面显示欢迎你的标语,或者让你不用输入ID、密码就直接登录等等。 Cookie参数越权 2、什么是Cookie 简单的说就是: (1) Cookie是以小的文本文件形式(即纯文本),完全存在于客户端;Cookie保存了登录的凭证,有了它,只需要在下次请求时带着Cookie发送,就不必再重
越权访问之——越权漏洞突破思路
温柔小薛的博客
04-20 1745
越权漏洞突破思路 1.一般管理页面可能存在越权漏洞 如果是白盒测试的话 找到admin相关 需要管理员账号才可以访问的文件 针对于前端绕过 访问该目录,可能会有一个js拦截,我们利用浏览器隐私安全性设置找到javascrip禁用 添加网站,再次进入可能会成功 针对于后端绕过 对于没有判断登录状态refer或者判断不标准,抓包修改为合法的refer就可以绕过 2.有的对于用户管理的地方可能有,例如更...
越权访问漏洞
子洋 Blog
02-03 1086
假设用户x和用户y属于同一角色,拥有相同的权限等级,他们能获取自己的私有数据(数据x和数据y),但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户x能访问到用户y的数据(数据y),那么用户x访问数据y的这种行为就叫做水平越权访问。垂直越权又叫做权限提升攻击,通常是因为后台应用没有做权限控制,或仅仅在菜单、按钮上做了权限控制,导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息,就可以访问控制其他角色拥有的数据或页面,达到权限提升的目的。可以模拟不同的用户行为,尝试未授权操作。
网络安全笔记 -- 逻辑越权(水平垂直越权
swy66的博客
09-15 3194
水平越权、垂直越权
网络安全之垂直越权漏洞讲解.mp4
11-13
越权漏洞一般包括平行越权和垂直越权。对平行越权漏洞防护中,增加访问与操作对象的用户属性,在对目标对象进行访问与操作时,服务端校验会话与对象的用户属性,在校验通过后才能执行读取和操作。
Web应用安全越权下载文件实验.docx
06-18
Web应用安全越权下载文件实验.docx
越权访问(Broken ACCESS Control)说明及解决方案
半夏_2021的博客
04-29 9535
越权访问(Broken ACCESS Control,简称BAC)是一种很常见的逻辑安全漏洞,是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web 应用十大安全隐患的第二名。 越权访问呢可以理解为服务端对客户端提出的数据操作请求过分的信任,一个用户一般只能对自己本身的信息进行增删改查,然而由于后台开发人员的疏忽,没有 在用户进行增删改查时进行用户判断。忽略了该用户的权限判定,导致攻击账户拥有了其他账户的增删改查。
web渗透--16--越权漏洞
热门推荐
武天旭的博客
09-12 1万+
1、漏洞描述 越权访问,这类漏洞是指应用在检查授权(Authorization)时存在纰漏,使得攻击者在获得低权限用户帐后后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查中,这类漏洞往往很难通过工具进行自动化检测,因此在实际应用中危害很大。其与未授权访问有一定差别。目前存在着两种越权操作类型:横向越权操作和纵向越权操作。 ...
Web安全越权访问类漏洞详解
路多辛的所思所想
12-18 1048
越权访问类(Broken Access Control)漏洞是一种非常常见的逻辑安全漏洞,可以理解为服务端对客户端的数据操作请求过分信任,一个用户一般只能对自身的信息进行增删改查,然而由于后端开发人员的疏忽,没有对用户的增删改查权限进行严格校验或根本就没有校验,从而导致被攻击账户拥有了对其他账户的增删改查权限越权访问类漏可以划分为水平越权访问、垂直越权访问、无权限控制三大类。水平越权访问是由于服务器端在处理用户的增删改查请求时没有判断数据的所属人或者所属主体而导致的越权数据访问漏洞。
WEB安全之:越权访问
f_carey的博客
07-08 4614
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 越权访问1 越权简介1.1 实验平台1.2 越权漏洞的危害1.3 产生越权漏洞的原因2 水平越权3 垂直越权4 预防越权 越权访问(Broken Access Control,简称BAC)是一种很常见的逻辑安全漏洞。可以理解为服务器端对客户提出的数据操作请求过分信任,一个用户一般只能够对自己本身的信息进行增删改.
越权访问
鲨鱼辣椒的博客
05-21 1282
目录 概念 分类 pikachu--水平越权 源码分析 pikachu---垂直越权 源码分析 概念 越权访问(Broken Access Control,BAC)是web中一种常见的漏洞,且越权漏洞属于逻辑漏洞,是由于权限校验的逻辑不够严谨导致的,所以越权漏洞很难通过扫描工具发现,往往需要通过手动进行测试,而且也是渗透测试过程中必不可少的一步 分类 水平越权:在同等权限的用户,原本只能操作各自的信息,但是通过一些特殊操作能够操作对方的一些信息被称为水平越权 垂直越权权限低的用.
Web应用安全:页面越权习题.docx
06-17
Web应用安全:页面越权习题.docx
Web应用安全:页面越权越权访问的处理.docx
06-17
Web应用安全:页面越权越权访问的处理.docx
010-Web安全基础6 - 访问控制漏洞.pptx
10-11
越权漏洞属于逻辑漏洞。利用业务逻辑在程序中体现时,仅仅限制于用户点击。 Web应用程序接收到用户请求,修改某条数据时,没有判断数据的所属人,或者在判断数据所属人时从用户提交的表单参数中获取了用户信息,导致...
网络安全安全事件管理处置 — 安全事件处置思路指导
最新发布
享你所想
04-26 670
一、处理DDOS事件 1.准备工作 2.预防工作 3.检测与分析 4.限制、消除 5.证据收集 二、处理恶意代码事件 1.准备 2.预防 3.检测与分析 4.限制 5.证据收集 6.消除与恢复 三、处理未授权访问事件 1.准备 2.预防 3.检测与分析 4.限制、消除 5.证据收集 6.恢复 四、处理复合型安全事件 1.建议
网络安全】常见的网路安全设备及功能作用总结
白帽黑客八哥的博客
04-22 407
一种整合多种安全功能(如防火墙、防病毒、内容过滤等)于一体的网络安全设备。
网络安全与密码学--AES加密
weixin_61074128的博客
04-22 835
1997年 NIST征集AES(Advanced Encryption Standard)2000年选中。AES分组长度为128位,密钥长度为128 192 256位。密钥长度 64位(实际使用56位 其中8位是奇偶校验位)python实现AES加密。分组加密之AES加密算法。DES 1977年被采用。
网络安全之弱口令与命令爆破(上篇)(技术进阶)
weixin_70911257的博客
04-25 1385
小小狗蛋可笑可笑
第一阶段--Day2--信息安全法律法规、网络安全相关标准
m0_58361380的博客
04-26 908
中华人民共和国计算机信息系统安全保护条例》1994年2月18日颁布并实施《中华人民共和国国际联网安全保护管理办法》1997年12月30日发布并实行《互联网信息服务管理办法》2000公布,2011年修订《网络安全法》2017年6月1日起施行《信息安全技术 网络安全等级保护基本要求》等保2.0 2019年5月13日《网络安全审查办法》2022年2月15日起施行《密码法》及相关条例规定2020年1月1日实施《数据安全法》2021年9月1日起施行。
数据安全基于视图的访问控制
05-23
基于视图的访问控制是一种常见的数据安全措施,它通过将数据分为多个视图,并对每个视图进行不同的访问控制,从而实现对数据的精细化管理和保护。具体来说,基于视图的访问控制包括以下步骤: 1. 划分视图:将数据库中的数据按照特定的规则划分为多个视图,每个视图包含一部分数据。 2. 定义访问权限:对每个视图分别定义不同的访问权限,可以控制用户对数据的查看、修改、删除等操作。 3. 分配用户权限:根据用户角色和职责,分配不同的视图和相应的访问权限,保证用户只能访问其需要的数据,并且不能越权操作。 4. 实现访问控制:在数据库管理系统中实现视图访问控制,确保用户只能访问其所分配的视图和权限,从而保护敏感数据的安全。 基于视图的访问控制可以提高数据库系统的安全性和可靠性,保护敏感数据免受未经授权的访问和操作。同时,它也可以提高数据的可用性和可维护性,方便管理员对数据进行管理和维护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值