• 《Web安全基础》06. 逻辑漏洞&越权



    本系列侧重方法论,各工具只是实现目标的载体。
    命令与工具只做简单介绍,其使用另见《安全工具录》。

    靶场参考:pikachu。

    1:逻辑漏洞

    在这里插入图片描述

    逻辑漏洞,与技术性漏洞不同,涉及到程序或系统中的逻辑错误或设计缺陷。通常不涉及代码的错误,而是涉及程序或系统的业务逻辑。

    常见逻辑漏洞与特征:

    • 越权访问(Authorization Bypass):
      • 访问控制机制绕过,访问未经授权的资源或功能。
    • 双重提交(Double-Submit):
      • 应用程序未能检测到同一操作的多个请求,导致重要操作重复执行。
    • 逻辑竞争(Race Conditions):
      • 多个进程或线程之间共享资源时,由于不正确的同步,导致不一致的状态或未授权的操作。
    • 业务逻辑错误(Business Logic Errors):
      • 应用程序未正确实施业务逻辑,从而允许不符合预期的行为。
    • 会话管理问题(Session Management Issues):
      • 应用程序没有正确管理会话,导致攻击者冒充其他用户。

    逻辑漏洞难以使用扫描器检测。

    2:逻辑越权

    在这里插入图片描述

    逻辑越权,通过绕过应用程序或系统的访问控制逻辑,获取未经授权的访问或执行操作的权限。

    三种类型

    在这里插入图片描述

    • 水平越权(Horizontal Privilege Escalation)
      • 通过更换身份标识,从而使 A 账号获取、操作 B 账号数据。
    • 垂直越权(Vertical Privilege Escalation)
      • 使用低权限身份的账号,进行高权限账号才能有的操作。
    • 交叉越权
      • 水平越权与垂直越权的结合。

    测试越权漏洞的基本:数据包中有传输用户的编号、用户组编号或类型编号的时候,尝试对这个值进行修改。
    垂直越权条件:获取 admin 发送的数据包结构。

    3:修复防御方案

    • 前后端同时对用户输入信息进行校验,双重验证机制。
    • 调用功能前验证用户是否有权限调用相关功能。
    • 执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限。
    • 敏感数据特殊化处理,防止攻击者枚举 ID。
    • 永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤。

    4:越权问题

    4.1:商品购买

    流程

    • 选择商品和数量 -> 选择支付及配送方式 -> 生成订单编号 -> 订单支付选择 -> 完成支付

    常见篡改参数

    • 商品编号 ID,购买价格,购买数量,支付方式,订单号,支付状态等

    常见修改方法

    • 替换支付,重复支付,最小额支付,负数支付,溢出支付,优惠券支付等

    4.2:找回重置机制

    机制缺陷

    • 客户端回显,Response 状态值,验证码爆破,找回流程绕过等

    接口调用滥用问题

    • 短信轰炸,来电轰炸等

    4.3:接口安全问题

    常见问题

    • 调用。如短信轰炸
    • 遍历。如 UID 等遍历
    • 未授权
    • 篡改

    4.4:验证安全

    在这里插入图片描述

    安全验证,用于确认用户的身份与操作。

    • 分类:图片,手机,邮箱,语音,视频,操作等

    安全验证逻辑漏洞

    • 原理:验证生成或验证过程中的逻辑问题
    • 危害:账户权限泄漏,短信轰炸,遍历,任意用户操作等
    • 漏洞:客户端回显,验证码复用,验证码爆破,绕过等

    token 安全

    • token 爆破,token 客户端回显等

    5:相关资源

    secscan-authcheck
    https://github.com/ztosec/secscan-authcheck

    挖洞技巧:支付漏洞之总结
    https://www.secpulse.com/archives/67080.html

    password_brute_dictionary
    https://github.com/zxcvbn001/password_brute_dictionary


    静夜沉沉,浮光霭霭,冷浸溶溶月。

    ——《无俗念 · 灵虚宫梨花词》(宋)丘处机

  • 相关阅读:
    评估睡眠阶段分类:年龄和早晚睡眠对分类性能的影响
    被领导夸奖的终极目标计划表,让你人生开挂
    CEF相关
    取消注册Single Sign-on 域中的另一台vCenter
    OpenCV入门2:OpenCV中的图像表示
    SQL优化
    金仓数据库KingbaseES客户端编程接口指南-PHP PDO (2. 概述)
    LeetCode220828_89、数组中的第K个最大元素
    05JVM_类加载阶段
    适合新手拿来练习的springboot+vue前后端分离小Demo
  • 原文地址:https://blog.csdn.net/KeepPromise/article/details/132729544