2015-09-02 分類: 網(wǎng)站建設(shè)
滲透測(cè)試在網(wǎng)站,APP剛上線之前是一定要做的一項(xiàng)安全服務(wù),提前檢測(cè)網(wǎng)站,APP存在的漏洞以及安全隱患,避免在后期出現(xiàn)漏洞,給網(wǎng)站APP運(yùn)營(yíng)者帶來(lái)重大經(jīng)濟(jì)損失。下面我們就對(duì)滲透測(cè)試中的一些知識(shí)點(diǎn)跟大家科普一下:
越權(quán)漏洞是什么?
詳細(xì)的跟大家講解一下什么是越權(quán)漏洞,在整個(gè)滲透測(cè)試過(guò)程中,越權(quán)漏洞是發(fā)生在網(wǎng)站,APP功能里的,比如用戶登錄,操作,提現(xiàn),修改個(gè)人資料,發(fā)送私信,上傳圖片,撤單,下單,充值,找回密碼等等,那么可以簡(jiǎn)單的理解為,繞過(guò)授權(quán)對(duì)一些需要驗(yàn)證當(dāng)前身份,權(quán)限的功能進(jìn)行訪問(wèn)并操作,舉例來(lái)講:在網(wǎng)站APP里的找回密碼功能,正常是按照手機(jī)號(hào)來(lái)進(jìn)行找回密碼,那么如果存在越權(quán)漏洞,就可以修改數(shù)據(jù)包,利用其它手機(jī)號(hào)獲取短信,來(lái)重置任意手機(jī)號(hào)的賬戶密碼。發(fā)生漏洞的根本原因是對(duì)需要認(rèn)證的頁(yè)面存在漏洞,沒(méi)有做安全效驗(yàn),導(dǎo)致可以進(jìn)行繞過(guò),大部分的存在于網(wǎng)站端,以及APP端里,像PHP開(kāi)發(fā)的,以及JAVA開(kāi)發(fā),VUE.JS開(kāi)發(fā)的服務(wù)端口都存在著該漏洞,小權(quán)限的用戶可以使用高權(quán)限的管理操作,這就是越權(quán)漏洞。
越權(quán)漏洞又分為水平越權(quán),垂直越權(quán),簡(jiǎn)單來(lái)理解的話,就是普通用戶操作的權(quán)限,可以經(jīng)過(guò)漏洞而變成管理員的權(quán)限,或者是可以操作其它人賬號(hào)的權(quán)限,也叫未授權(quán)漏洞,正常如果訪問(wèn)管理員的一些操作,是需要有安全驗(yàn)證的,而越權(quán)導(dǎo)致的就是繞過(guò)驗(yàn)證,可以訪問(wèn)管理員的一些敏感信息,一些管理員的操作,導(dǎo)致數(shù)據(jù)機(jī)密的信息泄露。垂直越權(quán)漏洞可以使用低權(quán)限的賬號(hào)來(lái)執(zhí)行高權(quán)限賬號(hào)的操作,比如可以操作管理員的賬號(hào)功能,水平越權(quán)漏洞是可以操作同一個(gè)層次的賬號(hào)權(quán)限之間進(jìn)行操作,以及訪問(wèn)到一些賬號(hào)敏感信息,比如可以修改任意賬號(hào)的資料,包括查看會(huì)員的手機(jī)號(hào),姓名,充值記錄,撤單記錄,提現(xiàn)記錄,注單記錄等等,也可以造成使用水平越權(quán)來(lái)執(zhí)行其他用戶的功能,比如刪除銀行卡,修改手機(jī)號(hào),密保答案等等。
關(guān)于越權(quán)漏洞的測(cè)試方法我們舉例來(lái)講解一下:
很多網(wǎng)站,APP設(shè)計(jì)過(guò)程中對(duì)ID號(hào)是以u(píng)serid=001等來(lái)命名的,我們?cè)诘卿浘W(wǎng)站后,輸入會(huì)員的賬號(hào)密碼,查看用戶的信息,比如我的查看鏈接是www.xxx.com/u/user.php?user_id=008,打開(kāi)這里鏈接就可以看到我的詳細(xì)信息,包括姓名,注冊(cè)的手機(jī)號(hào),地址,上傳的圖片,余額等等,那么如果網(wǎng)站存在越權(quán)漏洞我們就可以來(lái)測(cè)試一下,將user_id=008改為user_id=009,打開(kāi)網(wǎng)站就可以看到其他用戶的詳細(xì)信息,以此類推就可以查看任意的賬戶信息,導(dǎo)致信息泄露發(fā)生,危害較大。
滲透測(cè)試中發(fā)現(xiàn)的越權(quán)漏洞修復(fù)方案
對(duì)存在權(quán)限驗(yàn)證的頁(yè)面進(jìn)行安全效驗(yàn),效驗(yàn)網(wǎng)站APP前端獲取到的參數(shù),ID,賬戶密碼,返回也需要效驗(yàn)。對(duì)于修改,添加等功能進(jìn)行當(dāng)前權(quán)限判斷,驗(yàn)證所屬用戶,使用seesion來(lái)安全效驗(yàn)用戶的操作權(quán)限,get,post數(shù)據(jù)只允許輸入指定的信息,不能修改數(shù)據(jù)包,查詢的越權(quán)漏洞要檢測(cè)每一次的請(qǐng)求是否是當(dāng)前所屬用戶的身份,加強(qiáng)效驗(yàn)即可,如果對(duì)程序代碼不是太懂的話也可以找專業(yè)的網(wǎng)站安全公司處理,滲透測(cè)試服務(wù)中檢測(cè)的漏洞較多。
網(wǎng)頁(yè)名稱:滲透測(cè)試中遇到的越權(quán)漏洞該如何解決
網(wǎng)頁(yè)網(wǎng)址:http://jinyejixie.com/news18/36668.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站設(shè)計(jì)公司、網(wǎng)站設(shè)計(jì)、外貿(mào)建站、網(wǎng)站排名、域名注冊(cè)、全網(wǎng)營(yíng)銷推廣
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容