越權(quán)漏洞是一種很常見(jiàn)的邏輯安全漏洞。是由于服務(wù)器端對(duì)客戶提出的數(shù)據(jù)操作請(qǐng)求過(guò)分信任,忽略了對(duì)該用戶操作權(quán)限的判定,導(dǎo)致修改相關(guān)參數(shù)就可以擁有了其他賬戶的增、刪、查、改功能,從而導(dǎo)致越權(quán)漏洞。
創(chuàng)新互聯(lián)建站成都網(wǎng)站建設(shè)按需網(wǎng)站制作,是成都網(wǎng)站推廣公司,為成都自上料攪拌車提供網(wǎng)站建設(shè)服務(wù),有成熟的網(wǎng)站定制合作流程,提供網(wǎng)站定制設(shè)計(jì)服務(wù):原型圖制作、網(wǎng)站創(chuàng)意設(shè)計(jì)、前端HTML5制作、后臺(tái)程序開發(fā)等。成都網(wǎng)站改版熱線:028-86922220根據(jù)對(duì)數(shù)據(jù)庫(kù)的操作進(jìn)行分類,可以分為以下幾類:越權(quán)查詢、越權(quán)刪除、越權(quán)修改、越權(quán)添加等。
根據(jù)維度進(jìn)行分類,可分為:平行越權(quán)、垂直越權(quán)、交叉越權(quán)。
平行越權(quán):權(quán)限類型不變,權(quán)限ID改變;如:同是普通用戶,其中一個(gè)用戶可查看其它用戶信息。常見(jiàn)的就是通過(guò)修改某一個(gè)ID參數(shù)來(lái)查看其他用戶的信息,比如你查看自己的信息時(shí),發(fā)現(xiàn)URL連接中,或者h(yuǎn)ttp請(qǐng)求頭中有一個(gè)userID的參數(shù),然后你修改這個(gè)參數(shù)就可以查看那個(gè)人信息了!
垂直越權(quán):權(quán)限ID不變,權(quán)限類型改變;如普通用戶可使用管理員權(quán)限進(jìn)行操作。如你登錄時(shí),發(fā)現(xiàn)cookie中有一個(gè)roleID的角色參數(shù),那么可以通過(guò)修改該ID為1或者0,根據(jù)具體情況來(lái)定,就可以使用管理員權(quán)限了!
交叉越權(quán):權(quán)限類型改變,權(quán)限ID也改變。
越權(quán)漏洞的危害與影響主要是與對(duì)應(yīng)業(yè)務(wù)的重要性相關(guān),比如說(shuō)某一頁(yè)面服務(wù)器端響應(yīng)(不局限于頁(yè)面返回的信息,有時(shí)信息在響應(yīng)包中,頁(yè)面不一定能看見(jiàn))中返回登錄名、登錄密碼、手機(jī)號(hào)、×××等敏感信息,如果存在平行越權(quán),通過(guò)對(duì)用戶ID的遍歷,就可以查看所有用戶的敏感信息,這也是一種變相的***,而且很難被防火墻發(fā)現(xiàn),因?yàn)檫@和正常的訪問(wèn)請(qǐng)求沒(méi)有什么區(qū)別,也不會(huì)包含特殊字符,具有十足的隱秘性。
最簡(jiǎn)單的一種檢測(cè)方式是,首先是通過(guò)定位鑒權(quán)參數(shù),然后替換為其他賬戶鑒權(quán)參數(shù)的方法來(lái)發(fā)現(xiàn)越權(quán)漏洞。
1、基礎(chǔ)安全架構(gòu),完善用戶權(quán)限體系。要知道哪些數(shù)據(jù)對(duì)于哪些用戶,哪些數(shù)據(jù)不應(yīng)該由哪些用戶操作;
2、鑒權(quán),服務(wù)端對(duì)請(qǐng)求的數(shù)據(jù)和當(dāng)前用戶身份做校驗(yàn);
3、不要直接使用對(duì)象的實(shí)名或關(guān)鍵字。
4、對(duì)于可控參數(shù)進(jìn)行嚴(yán)格的檢查與過(guò)濾!
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無(wú)理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。
文章標(biāo)題:淺談越權(quán)漏洞-創(chuàng)新互聯(lián)
文章地址:http://jinyejixie.com/article48/egoep.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、網(wǎng)站排名、關(guān)鍵詞優(yōu)化、小程序開發(fā)、響應(yīng)式網(wǎng)站、域名注冊(cè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容