水平越权漏洞介绍越权
漏洞主要分为水平越权和垂直越权。
水平越权主要是指用户操作服务端数据时,服务端未验证数据是否归属于请求用户。使得攻击者可操作其他用户数据,导致水平越权漏洞。
垂直越权又称权限提升。其主要原因是由于应用程序没有做权限控制,或仅通过JavaScript在前端进行权限控制,导致攻击者猜测到管理页面或绕过前端验证,达到权限提升的目的。
水平越权漏洞危害攻击者可越权操作
(增加、删除、修改和查询)其他用户的数据。
通过资源编号进行数据操作。。
越权漏洞原理与防护
Gson
1\
初步可以定位为Gson在对Date类型进行序列化和反序列化的处理不一致造成,查看Gson的源码(1.7.1),问题得到确认:
Gson默认的Date类型处理类,有三种格式:enUs、local、iso8601
序列化时使用enUsFormat
反序列化时首先尝试localFormat
xstream
升级xstream包至1.4.18
注:1.4.17的安全验证采用的是黑名单模式,而1.4.18采用的是白名单验证模式。如果采用黑名单模式,如果少配置了黑名单最多引入安全漏洞的风险。但是,如果采用了白名单验证模式,如果某一个需要进行反序列化的类忘记配置白名单,这直接导致反序列化失败,风险非常高。目前dbconfig还没法提供新版本,我们这边需要经过充分的测试,如果各位使用了dbconfig中的反序列化工具,请自己评估风险,我们这边没法评估各位反序列化了哪些类。初步评估我们这边加的白名单包括以”com.jd“开头的类
https://x-stream.github.io/security.html#workaround
https://x-stream.github.io/changes.html
7733
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
