作者:sqler
來源:i春秋社區(qū)
0x01? 前言
我作為一個彩筆,很榮幸成為簽約作家團(tuán)的一員荐健,今天,就來講講越權(quán)琳袄,今天會舉三個例子江场,一個代碼審計,兩個黑盒測試窖逗。
0x02??什么是越權(quán)
越權(quán)漏洞是Web應(yīng)用程序中一種常見的安全漏洞址否。它的威脅在于一個賬戶即可控制全站用戶數(shù)據(jù)。當(dāng)然這些數(shù)據(jù)僅限于存在漏洞功能對應(yīng)的數(shù)據(jù)碎紊。越權(quán)漏洞的成因主要是因?yàn)殚_發(fā)人員在對數(shù)據(jù)進(jìn)行增佑附、刪、改仗考、查詢時對客戶端請求的數(shù)據(jù)過分相信而遺漏了權(quán)限的判定音同。所以測試越權(quán)就是和開發(fā)人員拼細(xì)心的過程。
0x03??越權(quán)的危害
越權(quán)的危害在于一個賬戶可以增痴鳄、刪瘟斜、改、查詢其他賬戶的數(shù)據(jù)痪寻。在補(bǔ)天漏洞響應(yīng)平臺螺句,涉及到數(shù)據(jù)的越權(quán),是高危漏洞橡类。(挖付費(fèi)的時候可以著重測一下蛇尚,特別是商城站收貨地址那里,很容易出問題)
0x04??實(shí)戰(zhàn)的案例(代碼審計篇)
我們來看看百樂CMS百家 V2.7微商城越權(quán)查看訂單漏洞顾画,這是一個很經(jīng)典的案例取劫。
先定位到/system/shopwap/class/mobile/getorder.php
<?php
? ? ? ? ? $orderid = intval($_GP['id']);
? ? ? ? ? $orderes = mysqld_select("SELECT * FROM " . table('shop_order') ?. ?"WHERE id = :id", array(':id' => $orderid));
? ? ? ? ? echo json_encode($orders);
?>
從代碼可知,獲取參數(shù)id研侣,然后直接帶入到查詢中谱邪,沒有判斷當(dāng)前用戶身份。這樣庶诡,我們來測試一下
0x05? 實(shí)戰(zhàn)的案例(實(shí)戰(zhàn)第一彈)
以我補(bǔ)天某漏洞為例子
數(shù)字是看不清了惦银,但是從頁數(shù)上來看,我們這個賬號的權(quán)限并不大末誓,只有1700條數(shù)據(jù)的閱讀權(quán)限扯俱,這太小了對吧?
可以看到我們的權(quán)限現(xiàn)在已經(jīng)很大了喇澡,上百萬的信息迅栅。這就是黑盒測試中,存在的越權(quán)漏洞∏缇粒現(xiàn)實(shí)中遇到這樣的場景读存,可以測試一下。
0x06 ?實(shí)戰(zhàn)的案例(實(shí)戰(zhàn)第二彈)
這回越權(quán)是后臺越權(quán)呕屎,說到底宪萄,就是曾經(jīng)有一個登錄框擺在我的面前,我沒有珍惜榨惰,掃了下目錄拜英,可以越權(quán)訪問后臺,管理員才追悔莫及琅催,人世間最悲慘的事莫過于此居凶,如果上天再給管理員一個機(jī)會,管理員一定會加上cookie驗(yàn)證藤抡。
首先我們得有一個登錄框(那個網(wǎng)站打不開了侠碧,我給你們手繪一個登錄框)
一般這種登錄框,我都是直接爆破的缠黍,這次說越權(quán)弄兜,我們就換個姿勢,我們掃目錄(市面上的是掃目錄工具多得是,啥御劍替饿,AWVS语泽,等等等等)這次聽著多幸運(yùn),然后多幸運(yùn)掃到了后臺越權(quán)訪問视卢。
0x07? 挖掘越權(quán)漏洞要注意的事項(xiàng)
一.測試越權(quán)一般得有倆號踱卵。
二.對userid。orderid等等ID要敏感据过,一旦發(fā)現(xiàn)惋砂,就多測測。
三.某些廠商喜歡用純數(shù)字的MD5作為用戶的cookie绳锅,多注意發(fā)現(xiàn)西饵。
四.多使用抓包工具,多分析數(shù)據(jù)包鳞芙,多修改數(shù)據(jù)包罗标。
五.多站在開發(fā)的角度去分析網(wǎng)站哪兒存在越權(quán)。
六.多看看別人的漏洞(某云小川的越權(quán)就講的很到位)
