这里写目录标题
1. 正文
#水平,垂直越权,未授权访问
解释,原理,检测,利用,防御等
解释:
- 通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据。
- 使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。
- 通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作。
原理:
- 前端安全造成:界面 判断用户等级后,代码界面部分进行可选显示。(功能并非没有,仅是不显示:如HTML不提供相应标签项)
- 后盾安全造成:数据库 user 表(管理员和普通用户同表) id,username,password,usertype 1,admin,123456,1 2,xiaodi,11111,2 登录用户 admin 或 xiaodi 时,代码是如何验证这个级别?(usertype 判断) 如果在访问数据包中有传输用户的编号、用户组编号或类型编号的时候,那么尝试对这个值进行修改,就是测试越权漏洞的基本。同理与上册 login=0 修改成 1 修改判定结果,这个验证是在前端的情况吗
修复防御方案
- 前后端同时对用户输入信息进行校验,双重验证机制
- 调用功能前验证用户是否有权限调用相关功能
- 执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限
- 直接对象引用的加密资源 ID,防止攻击者枚举 ID,敏感数据特殊化处理
- 永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤
2. 演示案例
2.1. Pikachu-本地水平垂直越权演示(漏洞成因)
水平:
- 修改提交的用户名达成水平越权,获取平级用户权限
- 其他平级用户的信息来自于:信息收集、网站注册用户名已存在提示、访问某用户空间查看用户名等方式
垂直:
垂直越权:添加用户
前提条件:获取的添加用户数据包
怎么来的数据包:
- 普通用户前端有操作界面可以抓取数据包(存有相关功能键但是提交返还无权限提醒等)
- 通过网站源码本地搭建模拟抓取(白盒吧属于有相关源码)
- 盲猜(根据用户)
若登陆上存在安全问题可以直接超管登陆的话。。。。。。
2.2. 墨者水平-身份认证失效漏洞实战(漏洞成因)
墨者靶场:身份认证失效漏洞实战
- 抓包分析,第一个包提交账密第二个包请求网页第三个包请求数据,即第三包中 card_id
- 同于一些博客网站等常存在的 uid 机制,每个用户拥有不同的标识符在后台
- 以card_id参数值为目标添加到 intruder 进行遍历。本题第一页查看源码看到每个代理的头像文件名
2.3. 越权检测-"小米范"越权漏洞检测工具(工具使用)
多浏览器分页
实时抓包,复制cookie等
2.4. 越权检测-Burpsuite 插件 Authz 安装测试(插件使用)
我这kali版的居然也能下载
- 首先是来自intrude的若干测试包
- 登录某一用户,以某一用户的cookie访问,以测试是否有拦截判断越权的存在
涉及资源:
越权检测工具
http://pan.baidu.com/s/1pLjaQKF (privilegechecker)
版权归原作者 廖一语山 所有, 如有侵权,请联系我们删除。