计算机用户越权操作的原因,“三员系统”中常见的越权问题

原标题:“三员系统”中常见的越权问题

一、越权访问

越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。

1.1越权访问的产生

比如,某个订单系统,用户可以查询自己的订单信息。A用户查询订单时,发送的HTTP请求中包含参数“orderid=A”,订单系统取得orderid后最终会查询数据库,查询语句类似于“select * fromtablename where orderid = A”。B用户查询订单时,发送的HTTP请求中包含参数“orderid=B”,系统查询数据库语句类似于“select * fromtablename where orderid = B”。正常情况下,每个用户只会查询到自己的订单。但是,当B用户将自己的HTTP请求参数修改为“orderid=A”,那么最终B用户执行的数据库语句变成了“select * fromtablename whereorderid = A”,导致A的订单信息被B用户获取到了。

一般来说,网站设计者会用户的访问进行权限校验,确保用户仅能访问到属于自己的资源,但是业务复杂到一定程度之后,诸如此类的数据如此之多,从订单信息,到地址数据、支付信息等等,无一不需要小心处理。一旦有所疏漏,就会产生越权访问漏洞。

1.2越权访问的种类

越权访问分为垂直越权访问、水平越权访问和交叉越权。

984f6da52bdd20f70a830a2453921c28.png

垂直越权是指不同用户级别之间的越权,如普通用户执行管理员用户的权限。水平越权是指相同级别用户之间的越权操作。

1.2.1水平越权

假设用户A和用户B属于同一角色X,拥有相同的权限等级,他们能获取自己的私有数据(数据A和数据B),但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据(数据B),那么用户A访问数据B的这种行为就叫做水平越权访问。

bfa75d552459f1c5c23caaa25a75c870.png

1.2.2垂直越权

垂直越权又叫做权限提升攻击。其原理是由于Web应用没有做权限控制,或仅仅在菜单上做了权限控制,导致恶意用户只要猜测其他管理页面的URL,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。

ad6d0924bb61e77fb4c9cc727f48945e.png

1.3越权访问的测试

本文以三员系统为例,首先介绍一下三员系统。

三员系统初始就有三个不同权限的管理员:系统管理员、安全保密管理员、安全审计员,三员之间是平级的但主体功能各不相同。此外根据不同Web系统的需求还会出现三员用户的子用户和普通用户,普通用户中可能还会分出不同权限的用户(如:操作员、监控员等等)。

三员系统为了满足保密产品的安全需求导致用户权限划分细致且众多,相较于普通系统权限判断更加繁多也更需细致,因此权限控制难度更高,导致三员系统出现越权漏洞的概率越高

1.3.1三员之间的交叉越权

登录A管理员,执行A管理员的功能x,抓取保存x功能包。退出A管理员,登录B管理员,抓取B管理员的COOKIE,将x功能包中的COOKIE替换成B的COOKIE,发送x功能包。通过响应包或到x功能的Web页面处查看请求是否成功,成功则存在越权漏洞。

99dcad4972757e9d08f00d3896d983cb.png

以上是越权通用的测试方式,但实际测试中要注意以下几点:

1.一般Web应用是通过COOKIE里的信息来认证用户身份的,但并不是所用Web应用的是如此的。遇到身份认证不是COOKIE的Web应用,要替换的就是该系统认证身份的地方而不是COOKIE。如下图就是COOKIE认证登录状态,jitabc认证用户身份。

f15f43b1f22b326571ccd0319bd7312d.png

2.遇到有COOKIE共用(多次登录同一或不同用户COOKIE相同)的Web应用时,因为COOKIE不变并不需要替换COOKIE直接替换Web的当前用户就能直接发送请求来测试。但这时候未授权漏洞和COOKIE退出不清除的问题会影响越权漏洞的验证,要在验证越权前先确定未授权漏洞和COOKIE退出不清除这两个问题不存在。

3.三员之间的交叉越权最常出现在同一功能不同权限处。如:系统管理员和安全保密管理员都有用户这个功能模块,但仅有系统管理员有添加用户的功能,仅有安全保密管理员有赋予用户权限的功能,在程序对功能模块进行身份验证但对其中的子功能缺乏验证时就会出现越权漏洞。

1.3.2三员管理员的垂直越权

本漏洞是在用户有某一功能的权限且增删改查的值有限制但限制不完善的情况下,会出现的问题。

例:

三员管理员可以添加自己权限的子用户。抓取系统管理员的用户角色添加功能,其中存在roles=1的字段,可能是角色控制的值,修改为roleid=2继续发送发现请求成功,在Web端查看该用户已被赋予安全管理员角色,很明显存在越权漏洞。

6bbfe3d7ea53cb7f42b26ed81c026460.png

注意:

1. 在实际测试中可能不会出现roleid这样明显的角色字眼,这时候就要认真分析和尝试出请求中每个字段的意义,在进行测试。

2. 该漏洞常出现在用户添加、赋予角色等跟用户角色相关但有限制的地方,一旦程序限制不完善就会出现漏洞。

1.3.3三员子用户/普通用户的垂直越权

登录C管理员,执行C管理员的功能y,抓取保存y功能包。退出C管理员,登录D三员子用户/普通用户,抓取D的COOKIE,将y功能包中的COOKIE替换成D的COOKIE,发送y功能包。通过响应包或到y功能的Web页面处查看请求是否成功,成功则存在越权漏洞。

与1.3.1类似,不同是的利用低权限用户的身份执行高权限用户独有的功能。

8bc94243cb6023618dd3e5cbe61019be.png

1.3.4三员子用户/普通用户的水平越权

登录E用户执行E用户的功能z,抓取z功能包将其中的用户识别id修改为F用户的(如E修改密码时抓取到功能包:username=E&passwd=123,修改成username=F&passwd=123),发送请求测试F用户对应的功能是否被修改,成功修改则存在越权漏洞。

a42cd52fac3d13a69839084f491ff240.png

二、未授权访问

未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。

常见的第三方未授权访问漏洞:

1.MongoDB 未授权访问漏洞

2.Redis 未授权访问漏洞

3.Memcached 未授权访问漏洞CVE-2013-7239

4.JBOSS 未授权访问漏洞

5.VNC 未授权访问漏洞

6.Docker 未授权访问漏洞

7.ZooKeeper 未授权访问漏洞

8.Rsync 未授权访问漏洞

以上都第三方的未授权漏洞,如果Web系统中有用到以上组件,就要及时更新该组件修复漏洞。Web应用本身也存在未授权漏洞,常见有以下两类:

1.没有作任何的用户身份认证手段。

2.一些特定的页面或文件未做认证。

第一类问题的测试只需要随意抓取用户功能,将其中的用户认证信息(COOKIE等)清空或修改然后发送,若请求成功便存在未授权漏洞。

df967af4affe099c5e061fd222423561.png

第二类问题测试方式与第一类问题一样,只是特定的页面或文件才存在。一般常见于:可文件、用户手册、Web应用新添加的功能页面。

三、认证信息失效机制问题

用户正常注销退出后,用户的认证信息不会立刻失效。用户认为自己已经退出账号,但在服务端中保留用户登录状态,依然可以用认证信息进行请求。因此在要求单次登录有效的应用系统中,用户正常退出或注销应将服务端认证信息进行注销。

四、结语

在上述安全问题测试方法的前提是获取到其他用户认证信息,而实际应用场景中需要获取其他管理员认证信息虽然很困难,但在现今层出不穷的网络攻击手段下,我们不得不关注这些安全问题的本身。造成“三员”中越权问题的主要原因在于对于身份认证不严格,角色和功能绑定存在遗漏,因此在企业重要的应用系统中建议在服务端进行用户和角色的一对一验证,角色和功能的一对一验证,或者用户和功能的一对一验证。

*本文作者:nercis,转载请注明来自FreeBuf.COM返回搜狐,查看更多

责任编辑:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/541239.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

富士施乐2022网络扫描设置_富士施乐(FUJI XEROX)全系列复印机产品介绍

富士施乐(FUJI XEROX)复印机全系列详解富士施乐复印机是中小型办公环境的理想机型。所有的都拥有高效生产力和强大的稳定性,无论您需要亮丽色彩、黑白打印、亦或是足以应对复杂文档工作流的强大功能,总有一款适合您。DocuCentre S2110NDocuCentre S2110N…

ruby hash方法_Ruby中带有示例的Hash.rassoc(obj)方法

ruby hash方法Hash.rassoc(obj)方法 (Hash.rassoc(obj) Method) In this article, we will study about Hash.rassoc(obj) Method. The working of the method can’t be assumed because of it’s quite a different name. Let us read its definition and understand its imp…

JavaMail(四):接收邮件

2019独角兽企业重金招聘Python工程师标准>>> 接收邮件采用POP3协议进行接收,简单的一个接收邮件案例如下 /*** 接收邮件*/ public static void receive() throws Exception { // 准备连接服务器的会话信息 Properties props new Properties(); props.se…

html流动海报css,海报网css代码怎样把模块移到右面?最好把代码直接给我!嘿嘿。...

匿名用户13级2010-09-15 回答CSS是Cascading style Sheets的简称,中文译作“层叠样式表单”. 实际上它是一组样式。你可能对CSS这个名词比较陌生,实际上无论你用Internet Explorer还是Netscape Navigator在网上冲浪,几乎随时都在与CSS打交道&…

奥鹏东北大学作业答案计算机网络,东北大学17秋学期《计算机网络》在线作业1参考答案...

一、单选题:【15道,总分:75分】东北大学1.IP地址0.0.0.0表示( )。 (满分:5)A. 广播B. 有限广播C. 自环地址D. 本机2.IP协议中,如果首部不含选项字段,则首部长度字段的值应为( )。 (满分:5)A. 0B. 5C. 10D. 203.滑动窗口的作用是…

append生成新变量的时候,没有如预期(It's a feature,not a bug?)

这是我在写一个项目中,遇到的一个golang的feature,如代码所示,我在for循环里,每次用append生成一个新的数组,(当然我以前一直以为可以这样,直到我在stackoverflow上发现不能。)然后将…

jqgrid本地数据例子_办公系统私有云公有云和本地化部署,你选哪个?

随着互联网和云计算技术的发展,我们常常会听到:私有云、公有云和本地化部署,它们分别代表什么意思?无论是国企、民企还是外企,只要有数据,就要思考:到底将数据储存在哪里?选择轻流进…

计算机基础应用的培养活动记录,小学少年宫计算机兴趣小组活动记录表

小学少年宫计算机兴趣小组活动记录表 小学少年宫计算机兴趣小组活动记录表 活动名称:计算机 指导教师: ⅩⅩ 学生姓名 活动地点 计算机教室 活 动 过 程 活动1.认识计算机 ①师:“请同学们按下方盒子上面像大钮扣一样的按钮&#…

C ++ STL中的set :: lower_bound()函数

C STL set :: lower_bound()函数 (C STL set::lower_bound() function) set::lower_bound() function is a predefined function, it is used to get the lower bound of any element in a set. set :: lower_bound()函数是预定义的函数,用于获取集合中任何元素的下…

flume入门

# example.conf: A single-node Flume configuration# Name the components on this agent #给那三个组件取个名字 a1.sources r1 a1.sinks k1 a1.channels c1# Describe/configure the source #类型, 从网络端口接收数据,在本机启动, 所以localhost, typespoolDir采集目录源…

原生js设置div隐藏或者显示_JavaScript动画方式控制div元素的隐藏和显示

jQuery实现此功能相对比较简单,具体参阅点击按钮动画方式隐藏和显示div一章节。结合CSS3实现此功能也非常便利和适合,具体参阅JavaScript与CSS3动画方式改变元素尺寸一章节。原生JavaScript实现稍显麻烦,下面就通过代码实例介绍一下如何实现此…

python线程任务run_Python线程类| 带有示例的run()方法

python线程任务runPython Thread.run()方法 (Python Thread.run() Method) Thread.run() method is an inbuilt method of the Thread class of the threading module in Python. This method is used to represent a threads activity. It calls the method expressed as the …

哪个计算机无法做到双屏显示,怎么启用双屏显示设置【图文介绍】

随着生活质量的提升,人们对于便利的要求越来越高,电脑的双屏显示成为现在用户越来越关注的对象之一。比如炒股操作中,人们既要关注大盘的走动趋势,又要关注特定股票的走势,在普通的屏幕上就需要不断地切换页面&#xf…

1.django 开发环境搭建

2019独角兽企业重金招聘Python工程师标准>>> 本教程使用的开发环境 本教程写作时开发环境的系统平台为 Windows 10 (64 位),Python 版本为 3.5.2 (64 位),Django 版本为 1.10.6。 建议尽可能地与…

改jpg_|我来改第04期|—人物海报设计

【我来改第04期】人物海报文案内容-Ad copyhttps://pan.baidu.com/s/16pz9_rcLXTGZ3xzKFjKN9g 密码: r57t设计要求-Requirement尺寸:1080(高)*650(宽)像素,大小不大于5m设计要求:以目前的蓝色为主要颜色(R:47,G:87,B:130),画面体…

Java即时类| plus()方法与示例

即时类plus()方法 (Instant Class plus() method) Syntax: 句法: public Instant plus(TemporalAmount t_amt);public Instant plus(long amt, TemporalUnit t_unit);plus() method is available in java.time package. plus()方法在java.time包中可用。 plus(Temp…

计算机领域中dns是什么意思,dns错误是什么意思?dns错误要如何解决?

随着网络的普及,电脑已经成为我们生活中必不可少的物品,它可以帮助我们工作和学习以及娱乐。不过电脑在使用的过程中,常常会出现一些问题,小编觉得最常见也最让人心生烦躁的就是输入网址打开之后出现网页打不开,提示dn…

Launch Instruments

Launch Instruments 该仪器应用在Xcode应用程序,所以推出是在Xcode的最直接的方式。你也可以启动它间接地通过码头,启动,或命令行。The Instruments app lives inside the Xcode app, so the most direct way to launch it is from within Xc…

java clock计时_Java Clock类| offset()方法与示例

java clock计时Clock Class offset()方法 (Clock Class offset() method) offset() method is available in java.time package. offset()方法在java.time包中可用。 offset() method is used to generate a new Clock from the given base clock with added the given Duratio…

dataframe数据标准化处理_数据处理中的标准化、归一化究竟是什么?

关注上方“Python数据科学”,选择星标,精彩文章不会错过!今天说一个比较重要的内容,无论是在算法建模还是在数据分析都比较常见:数据归一化和标准化。开始之前,请你先把网上看到的所有相关的博客、帖子都忘…