• Web应用安全测试-权限缺失

    Web应用安全测试-权限缺失

    Flash跨域访问

    漏洞描述:flash跨域通信,依据的是crossdomain.xml文件。该文件配置在服务端,一般为根目录下,限制了flash是否可以跨域获取数据以及允许从什么地方跨域获取数据。举个例子:

     1、www.a.com域下不存在crossdomain.xml文件,则不允许除了www.a.com域之外的其他任何域下的flash进行跨域请求。

    2、www.a.com域下存在crossdomain.xml文件,如若配置 allow-access-from 为www.b.com,则只允许www.b.com域下的flash进行跨域请求,以及来自自身域www.a.com的网络请求。 crossdomain.xml需严格遵守XML语法,有且仅有一个根节点cross-domain-policy,且不包含任何属性。在此根节点下只能包含如下的子节点:

    site-control

    allow-access-from

    allow-access-from-identity

    allow-http-request-headers-from

    如果crossdomain.xml文件配置allow-access-from为*,将允许任何域下的flash进行跨域请求。

    测试方法: 下面列举一个具体的利用场景:

    http://www.xxx.com/crossdomain.xml,文件内容如下图所示:

    利用开源的FlashHTTPRequest,下载地址:https://github.com/mandatoryprogrammer/FlashHTTPRequest,FlashHTTPRequest,使用方法参考README。

    在本地服务器编写一个HTML页面,嵌入FlashHTTPRequest.swf,此页面的目的是获取受害者的账号设置页面:http://www.xxx.com/user-setting,源代码如下:

    1. html>
    2.  
    3. <html lang="en">
    4.  
    5. <head>
    6.  
    7.    <meta charset="utf-8"/>
    8.  
    9.    <script src="flashhttprequest.js">script>
    10.  
    11.    <script>
    12.  
    13.         var res="";
    14.  
    15.           function setres(data){ //将返回结果打印至页面中
    16.  
    17.                  window.res=data;
    18.  
    19.                  //console.log(data);
    20.  
    21.                  document.write(data);
    22.  
    23.           }
    24.  
    25.         function onhook() {
    26.  
    27.                 FlashHTTPRequest.open('GET', 'http://www.xxx.com/user-setting', '', 'setres' );
    28.  
    29.         }
    30.  
    31.    script>
    32.  
    33. head>
    34.  
    35. <body>
    36.  
    37.    <div id="flashBridge">div>
    38.  
    39. body>
    40.  
    41. html>

    登录该网站后,访问构造好的HTML页面:http://127.0.0.1/crossdomain/index.html,页面内容是该网站的账号设置页面,如下图所示:

    由此也可以构造CSRF攻击……

    风险分析:攻击者通过如下攻击过程可获取用户敏感信息:

    1. 攻击者构造一个恶意的flash文件 ,在attacker.com中嵌入该flash文件
    2. 受害者已登录victim.com
    3. 受害者浏览含有恶意flash文件的页面
    4. flash文件以受害者的session向victim.com发出任意请求,并接收返回数据
    5. 攻击者保存受害者的信息

    风险等级:

    中危:可获取数据

    低危:allow-access-from属性为*

    低危:allow-http-request-headers-from属性为*

    低危:site-control标签的permitted-cross-domain-policies属性为 all

    修复方案:限制跨域请求来源,即设置allow-access-from的值,只允许可信域的flash跨域请求。

    注意事项:暂无

    jsonp跨域请求

    漏洞描述:当某网站通过 JSONP 的方式来传递用户认证后的敏感信息时,攻击者通过构造恶意的 JSONP 调用页面,诱导被攻击者访问来达到截取用户敏感信息的目的。

    测试方法:一个典型的 JSON劫持攻击代码:

    2. <script src="http://www.xxx.com/?o=sso&m=info&func=test">script>

    当被攻击者在登录www.xxx.com网站的情况下访问了该网页时,那么用户的隐私数据(如用户名,邮箱等)可能被攻击者劫持。

    风险分析:攻击者可利用该漏洞结合社会工程学,诱导用户点击某个精心构造的页面,从而达到窃取用户敏感信息的目的。

    风险等级:

    高危:可获取敏感数据

    中危:可获取普通数据

    修复方案:建议从以下几个方面进行防御:

    1. 严格安全的实现CSRF方式调用JSON文件:限制Referer、部署一次性Token等。
    2. 严格安装JSON格式标准输出Content-Type及编码(Content-Type : application/json; charset=utf-8)。
    3. 严格过滤callback函数名及JSON里数据的输出。
    4. 严格限制对JSONP输出callback函数名的长度。
    5. 在callback输出之前加入其他字符(如:/**/、回车换行)这样既不影响JSON文件加载,又能一定程度预防其他文件格式的输出。

    注意事项:暂无

    未授权访问

    漏洞描述:未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址,或者不允许查看的链接便可进行访问,同时进行操作。

    测试方法:

    • 通过对登录后的页面进行抓包,将抓取到的功能链接,在其他浏览器进行打开。
    • 也可以通过web扫描工具进行扫描,爬虫得到相关地址链接,进行直接访问,如果未进行跳转到登录页面,则可判断为存在未授权访问漏洞。

    风险分析:攻击者猜测管理后台地址或利用已知的访问地址,尝试在未登录的情况下直接访问,常见的后台登录地址有:admin.jsp、index.jsp、main.jsp、left.jsp、right.jsp、top.jsp等。攻击者进入管理后台后可修改Web应用程序设置,利用后台对上传文件过滤不严的缺陷,上传webshell等实施恶意操作。

    风险等级:

    高危:认证模式可绕过,不登录即可通过 URL 或其他方式访问登录后页面

    修复方案:常见的修复方法:在系统中,加入用户身份认证机制或者tonken验证,防止可被直接通过连接就可访问到用户的功能进行操作,简而言之,一定对系统重要功能点增加权限控制,对用户操作进行合法性验证,下列为针对常见的JSP语言编写的网站的安全修复方案:

        1、采用JAVA过滤器技术,对/pages下所有URL进行登录状态检查,通过session.getAttribute()方法从session中获取登录成功时存入session中的身份标识,判断客户端传递过来的身份标识是否与session中保存的一致,不一致则跳转到登录页面。关键代码如下:

    1. //从session里取的用户名信息
    2.  
    3. String username = (String) session.getAttribute("userID");
    4.  
    5. //getAttribute中变量根据实际变量传入。
    6.  
    7. //判断如果没有取到用户信息,就跳转到登录页面
    8.  
    9. if ((username == null) || "".equals(username)) {
    10.  
    11. //跳转到登录页面
    12.  
    13. res.sendRedirect("http://" + req.getHeader("Host") +"/login_oa.jsp");}
    14.  
    15. else {
    16.  
    17. //已经登录,继续此次请求
    18.  
    19. chain.doFilter(req, res); }}

        2、进行权限判断,以下代码为过滤器程序,通过会话获取用户身份信息,进行权限判断等操作:

    1. //在配置文件中设置过滤器
    2.  
    3. <filter>
    4.  
    5. <filter-name>SessionFilterfilter-name>
    6.  
    7. <filter-class>com.nsfocus.frame.filter.SessionFilterfilter-class>
    8.  
    9. filter>
    10.  
    11. <filter-mapping>
    12.  
    13. <filter-name>SessionFilterfilter-name>
    14.  
    15. <url-pattern>/pages/*url-pattern>
    16.  
    17. filter-mapping>
    18.  
    19. <filter>
    1. //后台过滤程序
    2.  
    3. public void doFilter(ServletRequest request,
    5. ServletResponse response,FilterChain chain) throws
    6.  
    7. IOException, ServletException {
    8.  
    9. HttpServletRequest req = (HttpServletRequest) request;
    10.  
    11. HttpServletResponse res = (HttpServletResponse) response;
    12.  
    13. HttpSession session = req.getSession(true);
    14.  
    15. //从session里取的用户名信息
    16.  
    17. String username = (String) session.getAttribute("userID");
    18.  
    19. //getAttribute中变量根据实际变量传入。
    20.  
    21. //判断如果没有取到用户信息,就跳转到登录页面
    22.  
    23. if ((username == null) || "".equals(username)) {
    24.  
    25. //跳转到登录页面
    26.  
    27. res.sendRedirect("http://" + req.getHeader("Host") +"/login_oa.jsp");}
    28.  
    29. else {
    30.  
    31. //已经登录,继续此次请求
    32.  
    33. chain.doFilter(req, res);      }   }
    34.  
    35. public void destroy() {   }
    36.  
    37. }

    注意事项:暂无

  • 相关阅读:
    devops学习(七) sonarqube 代码质检工具
    VR点亮元宇宙丨酷雷曼与你相约2022世界VR产业大会
    【每周CV论文推荐】GAN与VAE的结合,有哪些必读的论文?
    苹果宣布 2022 年 Apple 设计大奖得主
    ggpicrust2包:简化和直观化微生物功能预测分析
    Code Review关注点
    什么是数字化营销?企业数字化有多重要?
    JVisualVM 中线程状态(运行/休眠/等待/驻留/监视)解析
    c# 类的介绍及延伸
    Go 并发模型—Goroutines
  • 原文地址:https://blog.csdn.net/lschou520/article/details/139740179