越權(quán):訪問權(quán)限控制(邏輯空間鎖)是保證信息安全常用的手段富蓄,就像現(xiàn)實社會的鎖一樣钙姊。用戶必須用某種身份才能登陸邏輯空間毅该,如過存在用戶A能夠訪問用戶B的數(shù)據(jù),并且用戶A的權(quán)限小于等于B的權(quán)限督怜,就存在越權(quán)漏洞。
越權(quán)漏洞產(chǎn)生的原理:(權(quán)限校驗都在后臺進行)web后臺使用了 不合理的權(quán)限校驗規(guī),導(dǎo)致前臺可以假冒其他用戶身份潮模。越權(quán)漏洞一般出現(xiàn)在權(quán)限頁面(需要登錄的頁面)亮蛔。
越權(quán)漏洞的挖掘方法:只要有訪問權(quán)限控制的地方就有可能存在越權(quán)漏洞,主要看后臺通過什么字段校驗用戶的權(quán)限(通過session校驗比較安全)擎厢。
越權(quán)的分類:
? ? 水平越權(quán):
用戶A和用戶B屬于同一級別用戶究流,各自不能操作對方個人信息,如果用戶A能夠操作用戶B的數(shù)據(jù)則稱為平行越權(quán)操作动遭。
? ? 垂直越權(quán):
用戶A權(quán)限高于用戶B芬探,如果用戶B能夠操作用戶B的數(shù)據(jù)則稱之為垂直越權(quán)。
越權(quán)的防護:
權(quán)限管理中應(yīng)該遵守:
1.使用最小權(quán)限原則對用戶進行賦權(quán);
2.使用合理(嚴(yán)格)的權(quán)限校驗規(guī)則;
3.使用后臺登錄態(tài)作為條件進行權(quán)限判斷,不要使用前端傳進來的條件來判斷;
業(yè)務(wù)邏輯漏洞:web站點的主要功能就是提供某種業(yè)務(wù)厘惦,一種業(yè)務(wù)具有完整的業(yè)務(wù)邏輯偷仿,如果存在邏輯漏洞則稱之為業(yè)務(wù)邏輯漏洞。利用業(yè)務(wù)邏輯漏洞屬于正常的業(yè)務(wù)訪問宵蕉,waf等安全設(shè)備對其無效酝静。
邏輯漏洞的挖掘方法:確定完整的業(yè)務(wù)流程(詳細熟悉整個業(yè)務(wù)邏輯結(jié)構(gòu))--->尋找流程中可以被操控的環(huán)節(jié)--->分析可被操控環(huán)節(jié)中可能產(chǎn)生的邏輯問題--->嘗試修改參數(shù)觸發(fā)邏輯問題
常見的業(yè)務(wù)邏輯漏洞:
web站點的主要功能就是提供某種業(yè)務(wù),容易出現(xiàn)業(yè)務(wù)邏輯漏洞的業(yè)務(wù)有:交易支付羡玛、密碼修改拯啦、密碼找回杰赛、越權(quán)修改俱尼、越權(quán)查詢者吁、突破限制等
