A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

越权访问漏洞?
越权访问漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操
作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分
相信而遗漏了权限的判定。越权访问漏洞主要分为水平越权访问和垂直越权访问。

水平越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞。由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞。
假设用户A和用户B属于同一角色,拥有相同的权限等级,他们能获取自己的私有数据(数据A和数据B),
但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据(数据B),
那么用户A访问数据B的这种行为就叫做水平越权访问。

垂直越权是一种“基于URL的访问控制”设计缺陷引起的漏洞,又叫做权限提升攻击。
由于后台应用没有做权限控制,或仅仅在菜单、按钮上做了权限控制,导致恶意用户
只要猜测其他管理页面的URL或者敏感的参数信息,就可以访问或控制其他角色拥有
的数据或页面,达到权限提升的目的。

水平越权修复方案:

修复方案0:
先看一个有问题的方案:将addressid改成一个具有一定长度的随机字符串,如
5d41402abc4b2a76b9719d911017c592,认为只有有权限的人才能得到这个
入口,而且不能通过加1、减1的方式预测别人的入口,因此不再做进一步的权限
检查(很多初级的招聘页面都是以这种方式来管理简历的)。这个方案看上去没
有问题,可是和国内的环境结合起来就会悲剧——至少我遇到过的,搜狗浏览器
会把用户发送的请求上传到服务器上,作为其搜索引擎爬虫的爬取源,这样爬虫
就会通告查询操作得到相关的对象信息,并展示在搜索引擎上,如果对象信息包
含敏感内容,则产生隐私泄露的安全事件。

修复方案1:
这个是最直接有效的修复方案:在web层的逻辑中做鉴权,检查提交CRUD请求
的操作者(通过session信息得到)与目标对象的权限所有者(查数据库)是否
一致,如果不一致则阻断。这个方案实现成本低、能确保漏洞的修复质量,缺
点是增加了一次查库操作。我之前一直用这种方案来对已发生的水平权限漏洞
做紧急修复。

修复方案2:
我认为最正规的方案:把权限的控制转移到数据接口层中,避免出现
select/update/delete ... where addressID=#addressID#的SQL语句,
使用selectt/update/delete... where addressID=#addressID# and
ownerId=#userId#来代替,要求web层在调用数据接口层的接口时
额外提供userid,而这个userid在web层看来只能通过seesion来取到。
这样在面对水平权限攻击时,web层的开发者不用额外花精力去注意鉴
权的事情,也不需要增加一个SQL来专门判断权限——如果权限不对的
话,那个and条件就满足不了,SQL自然就找不到相关对象去操作。而
且这个方案对于一个接口多个地方使用的情况也比较有利,不需要每个
地方都鉴权了。但这个方案的缺陷在于实现起来要改动底层的设计,所
以不适合作为修复方案,更适合作为统一的控制方案在最开始设计时就
注意这方面的问题。

修复方案3:
今天开发同学提到一种我之前没想到过的方式,实际上是对方案1的修改:
在生成表单时,增加一个token参数,而token=md5(addressId+sessionId+key);
在处理请求时,用addressId、sessionId和key来验证token。这样的方案实现起来
很简单,又不增加额外的SQL查询开销,看起来比方案1更好。可我之前没有想到过
这种方案,乍一看又是把鉴权和操作这一串同步的操作异步化了(实际上是在生成表
单的时候鉴权并生成token,然后在操作时只验证token而不鉴权),所以一时还拿
不准这样会不会有啥问题~不过我是想了半天也找不到漏洞哈~

修复方案4:
把这种属主、权限、对象、操作的场景抽象成一个统一的框架,在框架内一个地方实现
权限的管理和检查。当然这个说起来有点扯淡了,在产品设计阶段是不是有人愿意花大
成本来设计相关框架呢?如果最开始没有框架,那么什么时候愿意花更大的成本去迁
移呢?我想最终还是会按方案1、2、3来吧。

防范措施
前后端同时对用户输入信息进行校验,双重验证机制
调用功能前验证用户是否有权限调用相关功能
执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限
直接对象引用的加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理
永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤
————————————————
版权声明:本文为CSDN博主「gulianjunhtzw」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/u012068483/article/details/89553797
https://blog.csdn.net/weixin_30719711/article/details/98050841

7 个回复

倒序浏览
好棒哦,加油
回复 使用道具 举报
希望培训结束以后大家都能找到自己心仪的事业,也祝大家事业蒸蒸日上。
回复 使用道具 举报
加油啊  你是最棒的
回复 使用道具 举报
加油,你们是最Yes~的
回复 使用道具 举报
Yes ppg
回复 使用道具 举报
祝大家事业蒸蒸日上
回复 使用道具 举报
祝大家事业蒸蒸日上
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入黑马