一.水平越权和垂直越权?
1.水平越权
功能同一级别的用户,通过改变ID,username等标识从A用户到B用户
2.垂直越权
功能递增,从低级权限到超管权限
实例:pikachu靶场,pikachu默认密码000000,其他123456
(1)水平
?先以kobe用户登录,查看个人信息时抓包处理
看到username与submit参数,尝试将kobe换成其他名称?lucy点击放包
?成功登录lucy账户
当有多个验证条件时,可以同时更改测试
关于username获取:1.一般网站注册提示账户已注册 2.空间信息
(2)垂直
?burp抓取admin登录时添加用户操作的数据包
抓取普通用户pikachu时的cookie
| PHPSESSID | "jqpgrguq1ektf4ptc7o19fam09" |
?使用普通用户pikachu登录,通过修改admin添加用户时的cookie为普通用户的cookie,实现使用普通用户实现admin的添加用户操作
问题:如何获取添加用户的数据包?
(1)获取源码本地搭建测试
(2)根据普通用户数据包猜测
(3)高权限账号直接代理抓取或普通权限账号获取(需要存在功能)
漏洞常见场景:
通常越权漏洞容易出现在权限页面(需要登陆的页面),增,删,改,查的地方,当用户对权限页面内的信息进行操作时,后台需要对用户的权限进行验证,看是否具备操作的权限,如果校验规则过于简单则容易出现越权漏洞。
?二.mozhe靶场实例
身份认证失效漏洞实战_身份认证和会话管理_在线靶场_墨者学院_专注于网络安全人才培养
?打开靶场,下方有测试用户登录抓包
推测与uid和card_id可能有关
?更换card_id尝试,发现不同用户账号及密码(可以burp爆破id后两位尝试)
检查网页源代码,发现图片命名与card_id相似,尝试登陆马春生账号及改card_id后两位为16
?密码使用MD5解密为9732343,登录,提交key即可
?三.原理
1.代码逻辑问题
只验证了登陆状态,没验证级别 即普通用户登录之后无需验证级别依然可以调用php文件
处理:用户操作功能时,判定是不是管理员,给予相应权限
2.后端安全造成:数据库
?通过usertype或groupid等判断是不是管理员
四,测试
burp插件:AuthMatrix与Authz
中通安全开源项目自动检测
五.修复:
1.前后端同时验证
2.调用功能前验证用户身份
3.直接引用对象用的加密资源ID,防止攻击者进行枚举,敏感数据特殊化处理
4.不要相信来自用户输入,对于可控参数严格过滤