浅谈web项目越权风险问题

web越权访问

 

越权访问（Broken Access Control，简称BAC）是Web应用程序中一种常见的漏洞，由于其存在范围广、危害大，被OWASP列为Web应用十大安全隐患的第二名。

 

越权访问漏洞的产生 

比如，某个订单系统，用户可以查询自己的订单信息。A用户查询订单时，发送的HTTP请求中包含参数“orderid=A”，订单系统取得orderid后最终会查询数据库，查询语句类似于“select * from tablename where orderid = A”。B用户查询订单时，发送的HTTP请求中包含参数“orderid=B”，系统查询数据库语句类似于“select * from tablename where orderid = B”。正常情况下，每个用户只会查询到自己的订单。但是，当B用户将自己的HTTP请求参数修改为“orderid=A”，那么最终B用户执行的数据库语句变成了“select * from tablename whereorderid = A”，导致A的订单信息被B用户获取到了。

 

一般来说，网站设计者会用户的访问进行权限校验，确保用户仅能访问到属于自己的资源，但是业务复杂到一定程度之后，诸如此类的数据如此之多，从订单信息，到地址数据、支付信息等等，无一不需要小心处理。一旦有所疏漏，就会产生越权访问漏洞。

越权访问概述

越权访问分为垂直越权访问和水平越权访问。

 

 

 

垂直越权是指不同用户级别之间的越权，如普通用户执行管理员用户的权限。水平越权是指相同级别用户之间的越权操作。本文重点介绍水平越权访问。

 

水平越权示意图：

 

 

 

水平越权：假设用户A和用户B属于同一角色X，拥有相同的权限等级，他们能获取自己的私有数据（数据A和数据B），但如果系统只验证了能访问数据的角色，而没有对数据做细分或者校验，导致用户A能访问到用户B的数据（数据B），那么用户A访问数据B的这种行为就叫做水平越权访问。

 

垂直越权访问示意图：

 

垂直权限攻击：又叫做权限提升攻击。其原理是由于Web应用没有做权限控制，或仅仅在菜单上做了权限控制，导致恶意用户只要猜测其他管理页面的URL，就可以访问或控制其他角色拥有的数据或页面，达到权限提升的目的。

 

 

 

 

 

 

越权的判定标准

1  返回页面中包含敏感信息(保单号，身份证号，手机号、地址、邮箱.......)

2  通过请求参数获取敏感信息

3  请求参数可预测，如（id=1、user=username、policy_no=85000001）

如：

http://zhaopin-temp.sinosig.com:7001/zhaopinXY/upload.do?cmd=doUpdate2&appid=2202155421

 

http://eoa.sinosig.com/km/address/km_address_person_main/kmAddressPersonMain.do?method=view&s_css=default&fdId=CAWlDFmVr7JWdzf5WSyfIcBTrpGUyUyy&flag=1

 

 

在返回敏感信息处抓取数据包，参数可预测并且未对用户身份进行校验，导致遍历参数值，可获取该功能点上其它用户的信息

 

 

Web网络越权访问是网络安全问题的重要成员之一，解决好web越权访问问题尤为重要。