代码审计——未授权访问详解

01 漏洞描述

未授权访问漏洞，是在攻击者没有获取到登录权限或未授权的情况下，或者不需要输入密码，即可通过直接输入网站控制台主页面地址，或者不允许查看的链接便可进行访问，同时进行操作。

简单来说，就是用户不经过身份认证即可访问敏感资源，可能造成敏感信息泄露，或者其他恶意操作。

02 审计要点

未授权访问的根本原因是系统鉴权机制不完善，用户直接输入URL便可对原本不允许查看的内容进行访问。

当判断代码中是否存在未授权访问漏洞时，可从以下2点进行判断：

1、是否使用了身份认证的框架？如spring security安全框架。

2、是否对用户身份进行认证？如cookie或者token认证。

03 漏洞特征

应用没有使用专用的身份认证框架，同时在敏感功能业务访问前，没有对用户的session进行校验。

有时候一些管理页面是禁止普通用户访问的，有时开发者会忘记对这些文件进行权限验证，导致漏洞发生。

该缺陷还往往产生在如下场景：

1、在UI中泄露了敏感功能，客户端仅通过JavaScript脚本作显示控制；

2、服务端缺失访问敏感功能的的身份鉴别机制；

3、服务端的访问敏感功能的身份鉴别机制存在缺陷，身份鉴别信息可由攻击者伪造；

4、敏感的文件名/方法名容易被猜测。

04 漏洞案例

在代码审计的过程中，可收集出现的接口以及系统功能地址，在测试环境下利用http请求工具批量对接口及url进行未授权访问测试。

漏洞验证示例如下：

05 修复方案

1、在打开管理页面URL时，首先判断当前用户是否拥有该页面的权限，如果没有权限，就判定为“权限提升”攻击，同时记录安全日志。

2、设计代码时建议使用成熟的权限框架处理权限问题，比如spring security。