何为越权?越权漏洞的成因主要是因为开发过程中在对数据进行增、删、改、查时对客户端请求的数据没有进行严格的权限判定,导致单个用户可以操作其他用户的一些操作,叫做越权。越权漏洞通常分为两种:水平越权和垂直越权(权限提升)。
如果攻击者能够执行与自己同级别的其他用户能够执行的操作,这就说明存在水平越权漏洞。通俗解释 就是:指攻击者尝试访问与他拥有相同权限的用户资源。
通常是由于攻击者请求操作(增删改查)某条数据时,WEB应用程序没有判断该数据的所属人,或者在判断数据所属人时直接从用户提交的表单参数中获取(例如用户ID),导致攻击者可以执行修改参数(例如用户ID),操作不属于自己的数据。
操作一 tinyshop水平越权删除其他用户地址
漏洞分析
原因: sql语句中的限定条件不足
任意收货地址删除漏洞的问题出在/protected/controllers/ucenter.php中
漏洞验证利用
可以发现注册账户中的“收货地址”已经被删除。
操作二 SRCMS越权漏洞
漏洞分析
如果攻击者能够执行某项功能,而他所属的角色并不具备该权限,这就存在垂直越权漏
洞。
通常服务器为鉴别客户端浏览器会话及身份,会将用户身份信息存储在cookie中,并发送至客户端存储。攻击者可以通过尝试修改cookie中的身份标识为管理员,欺骗服务器分配管理权限,达到垂直越权的目的。
操作一 垂直越权demo演示
漏洞分析
漏洞验证利用
操作二 FiyoCMS 2.0.6.1垂直越权漏洞
漏洞分析
fiyocms一共设置了5个用户组,等级为1-5,权限依次降低,而只有等级1-3有权限登录后台,不同等级具有不同的权限。
super administrator = 1
administrator = 2
editor = 3
publisher = 4
member = 5
漏洞文件在 dapur\apps\app_user\sys_user.php ,可以看到程序在对用户账户进行操作前,并没有对用户的身份进行确认或者说没有对用户的权限进行检查,这也是越权漏洞产生的原因。
漏洞验证利用
登录:
注册test账户: Dashboard à Users à New User
随着互联网的快速发展,在线支付业务的日渐成熟,大批的网上商城涌入互联网.为了方
便网上商城的快速上线,很多该类型的应用程序在未能严格审查源码的情况下就开始上线,导致很多逻辑错误类型的漏洞出现在应用程序中,而密码重置漏洞便是其中的一种。
漏洞位置在找回密码处,由于验证设计过于简单,而且对校验码的校验使用次数没有
进行限制,导致正确的验证码可以被枚举爆破,从而重置密码。此方法也是最常见的重置密
码的方式,因为大多数厂商最开始的设置都是采取的 4-6 位纯数字验证码的验证方式,而且是没有防止爆破的设计。
当然除了上述的由于验证不严格导致的密码重置案例,还有诸如:敏感信息泄露(把明
文密码通过 e-mail 发送给用户)重置密码消息劫持(攻击会者接收到密码重置信息)这些都是在密码重置功能中比较常见的漏洞
操作一 phpshe 1.1支付业务逻辑漏洞
环境准备
漏洞分析
漏洞代码位置module\index\order.php 行 73:
由于注册了全局变量所以:$_p_info= $_POST['info'];
所以修改订单提交的表单直接 info['order_sate'] 值=paid。
漏洞验证利用
操作三 Doyo 2.3支付业务逻辑漏洞
环境准备
漏洞分析
支付验证存在缺陷
漏洞验证利用