《Web安全基础》06. 逻辑漏洞&越权

web

  • 1:逻辑漏洞
  • 2:逻辑越权
  • 3:修复防御方案
  • 4:越权问题
    • 4.1:商品购买
    • 4.2:找回重置机制
    • 4.3:接口安全问题
    • 4.4:验证安全
  • 5:相关资源


本系列侧重方法论,各工具只是实现目标的载体。
命令与工具只做简单介绍,其使用另见《安全工具录》。

靶场参考:pikachu。

1:逻辑漏洞

《Web安全基础》06. 逻辑漏洞&越权_第1张图片

逻辑漏洞,与技术性漏洞不同,涉及到程序或系统中的逻辑错误或设计缺陷。通常不涉及代码的错误,而是涉及程序或系统的业务逻辑。

常见逻辑漏洞与特征:

  • 越权访问(Authorization Bypass):
    • 访问控制机制绕过,访问未经授权的资源或功能。
  • 双重提交(Double-Submit):
    • 应用程序未能检测到同一操作的多个请求,导致重要操作重复执行。
  • 逻辑竞争(Race Conditions):
    • 多个进程或线程之间共享资源时,由于不正确的同步,导致不一致的状态或未授权的操作。
  • 业务逻辑错误(Business Logic Errors):
    • 应用程序未正确实施业务逻辑,从而允许不符合预期的行为。
  • 会话管理问题(Session Management Issues):
    • 应用程序没有正确管理会话,导致攻击者冒充其他用户。

逻辑漏洞难以使用扫描器检测。

2:逻辑越权

《Web安全基础》06. 逻辑漏洞&越权_第2张图片

逻辑越权,通过绕过应用程序或系统的访问控制逻辑,获取未经授权的访问或执行操作的权限。

三种类型

《Web安全基础》06. 逻辑漏洞&越权_第3张图片

  • 水平越权(Horizontal Privilege Escalation)
    • 通过更换身份标识,从而使 A 账号获取、操作 B 账号数据。
  • 垂直越权(Vertical Privilege Escalation)
    • 使用低权限身份的账号,进行高权限账号才能有的操作。
  • 交叉越权
    • 水平越权与垂直越权的结合。

测试越权漏洞的基本:数据包中有传输用户的编号、用户组编号或类型编号的时候,尝试对这个值进行修改。
垂直越权条件:获取 admin 发送的数据包结构。

3:修复防御方案

  • 前后端同时对用户输入信息进行校验,双重验证机制。
  • 调用功能前验证用户是否有权限调用相关功能。
  • 执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限。
  • 敏感数据特殊化处理,防止攻击者枚举 ID。
  • 永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤。

4:越权问题

4.1:商品购买

流程

  • 选择商品和数量 -> 选择支付及配送方式 -> 生成订单编号 -> 订单支付选择 -> 完成支付

常见篡改参数

  • 商品编号 ID,购买价格,购买数量,支付方式,订单号,支付状态等

常见修改方法

  • 替换支付,重复支付,最小额支付,负数支付,溢出支付,优惠券支付等

4.2:找回重置机制

机制缺陷

  • 客户端回显,Response 状态值,验证码爆破,找回流程绕过等

接口调用滥用问题

  • 短信轰炸,来电轰炸等

4.3:接口安全问题

常见问题

  • 调用。如短信轰炸
  • 遍历。如 UID 等遍历
  • 未授权
  • 篡改

4.4:验证安全

《Web安全基础》06. 逻辑漏洞&越权_第4张图片

安全验证,用于确认用户的身份与操作。

  • 分类:图片,手机,邮箱,语音,视频,操作等

安全验证逻辑漏洞

  • 原理:验证生成或验证过程中的逻辑问题
  • 危害:账户权限泄漏,短信轰炸,遍历,任意用户操作等
  • 漏洞:客户端回显,验证码复用,验证码爆破,绕过等

token 安全

  • token 爆破,token 客户端回显等

5:相关资源

secscan-authcheck
https://github.com/ztosec/secscan-authcheck

挖洞技巧:支付漏洞之总结
https://www.secpulse.com/archives/67080.html

password_brute_dictionary
https://github.com/zxcvbn001/password_brute_dictionary


静夜沉沉,浮光霭霭,冷浸溶溶月。

——《无俗念 · 灵虚宫梨花词》(宋)丘处机

你可能感兴趣的:(学习记录:Web安全基础,web安全,前端,安全)