安全测试系列之—越权漏洞

越权漏洞原理

• 越权访问（Broken Access Control，简称BAC）是Web应用程序中一种常见的漏洞，由于其存在范围广、危害大，被OWASP列为Web应用十大安全隐患的第二名。
• 越权漏洞指应用在检查授权时存在纰漏，使得攻击者在获得低权限用户账户后，利用一些方式绕过权限检查，访问或者操作其他用户获得更高权限。
• 越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时没有进行权限的判定，一旦权限验证不充分，就易致越权漏洞。
• 隶属于用户个人的页面或者功能必须进行权限控制校验

越权漏洞分类

越权访问漏洞主要分为水平越权、垂直越权。

水平越权漏洞

• 指攻击者尝试访问或操作与他拥有相同权限的用户资源。
• 例如，用户A和用户B属于同一角色，拥有相同的权限等级，他们能获取自己的私有数据（数据A和数据B），但如果系统只验证了能访问数据的角色，而没有对数据做细分或者校验，导致用户A能访问到用户B的数据（数据B），那么用户A访问数据B的这种行为就叫做水平越权访问。

垂直越权漏洞

• 由于后台应用没有做权限控制，或仅仅在前端的菜单、按钮上做了权限控制，导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息，就可以访问或控制其他角色拥有的数据或页面，达到权限提升的目的。

漏洞成因

• 通常情况下，一个程序功能流程是登录 - 提交请求 - 验证权限 - 数据库查询 - 返回结果。如果验证权限不足，便会导致越权。常见的程序都会认为通过登录后即可验证用户的身份，不会做下一步验证，最后导致越权。

漏洞成因分析

• 隐藏URL 利用 URL 实现访问控制，但 URL 泄露或被恶意攻击者猜到后，这会导致越权攻击。
• 平台控制错误 一些程序会通过控件来限制用户的访问，但当配置平台或配置控件错误时，就会出现越权访问。
• 直接对象引用 直接使用用户提交的参数，不校验用户权限。例如查看用户信息页面 URL 后加上自己的 id 便可查看，当修改为他人的 ID 号时会返回他人的信息，便产生了水平越权。
• 多阶段功能 多阶段功能是一个功能有多个阶段的实现。例如修改密码，可能第一步是验证用户身份信息，手机号验证码类的。当验证成功后，跳到第二步，输入新密码，很多程序会在这一步不再验证用户身份，导致恶意攻击者抓包直接修改参数值，导致可修改任意用户密码。
• 静态文件 很多网站的下载功能，一些被下载的静态文件，例如 pdf、word、xls 等，可能只有付费用户或会员可下载，但当这些文件的 URL 地址泄露后，导致任何人可下载，如果知道 URL 命名规则，则可以对服务器的收费文档进行批量下载。

防范措施

• 永远不要相信来自用户的输入，前后端同时对用户输入信息进行校验，双重验证机制
• 执行特别敏感的操作前可以二次验证用户身份，验证用户是否具备操作数据的权限
• 数据接口添加分页查询功能，以防被一次性拉取大量数据
• 可以从用户的加密认证 cookie 中获取当前用户 id，防止攻击者对其修改。或在 session、cookie 中加入不可预测、不可猜解的 user 信息。
• 加密直接对象引用的资源ID，防止攻击者枚举ID，敏感数据特殊化处理