滲透測試在網站,APP剛上線之前是一定要做的一項安全服務,提前檢測網站,APP存在的漏洞以及安全隐患,避免在後期出現漏洞,給網站APP營運者帶來重大經濟損失,很多客戶找到我們SINE安全公司做滲透測試服務的同時,我們積累了十多年的漏洞檢測經驗,對客戶的網站各項功能以及APP進行全面的安全檢測,下面我們就對滲透測試中的一些知識點跟大家科普一下:
越權漏洞是什麼?
詳細的跟大家講解一下什麼是越權漏洞,在整個滲透測試過程中,越權漏洞是發生在網站,APP功能裡的,比如使用者登入,操作,提現,修改個人資料,發送私信,上傳圖檔,撤單,下單,充值,找回密碼等等,那麼可以簡單的了解為,繞過授權對一些需要驗證目前身份,權限的功能進行通路并操作,舉例來講:在網站APP裡的找回密碼功能,正常是按照手機号來進行找回密碼,那麼如果存在越權漏洞,就可以修改資料包,利用其它手機号擷取短信,來重置任意手機号的賬戶密碼。發生漏洞的根本原因是對需要認證的頁面存在漏洞,沒有做安全校驗,導緻可以進行繞過,大部分的存在于網站端,以及APP端裡,像PHP開發的,以及JAVA開發,VUE.JS開發的服務端口都存在着該漏洞,小權限的使用者可以使用高權限的管理操作,這就是越權漏洞。
越權漏洞又分為水準越權,垂直越權,簡單來了解的話,就是普通使用者操作的權限,可以經過漏洞而變成管理者的權限,或者是可以操作其它人賬号的權限,也叫未授權漏洞,正常如果通路管理者的一些操作,是需要有安全驗證的,而越權導緻的就是繞過驗證,可以通路管理者的一些敏感資訊,一些管理者的操作,導緻資料機密的資訊洩露。垂直越權漏洞可以使用低權限的賬号來執行高權限賬号的操作,比如可以操作管理者的賬号功能,水準越權漏洞是可以操作同一個層次的賬号權限之間進行操作,以及通路到一些賬号敏感資訊,比如可以修改任意賬号的資料,包括檢視會員的手機号,姓名,充值記錄,撤單記錄,提現記錄,注單記錄等等,也可以造成使用水準越權來執行其他使用者的功能,比如删除銀行卡,修改手機号,密保答案等等。
關于越權漏洞的測試方法我們舉例來講解一下:
很多網站,APP設計過程中對ID号是以userid=001等來命名的,我們在登入網站後,輸入會員的賬号密碼,檢視使用者的資訊,比如我的檢視連結是域名/u/user.php?user_id=008,打開這裡連結就可以看到我的詳細資訊,包括姓名,注冊的手機号,位址,上傳的圖檔,餘額等等,那麼如果網站存在越權漏洞我們就可以來測試一下,将user_id=008改為user_id=009,打開網站就可以看到其他使用者的詳細資訊,以此類推就可以檢視任意的賬戶資訊,導緻資訊洩露發生,危害較大。
滲透測試中發現的越權漏洞修複方案
對存在權限驗證的頁面進行安全校驗,校驗網站APP前端擷取到的參數,ID,賬戶密碼,傳回也需要校驗。對于修改,添加等功能進行目前權限判斷,驗證所屬使用者,使用seesion來安全校驗使用者的操作權限,get,post資料隻允許輸入指定的資訊,不能修改資料包,查詢的越權漏洞要檢測每一次的請求是否是目前所屬使用者的身份,加強校驗即可,如果對程式代碼不是太懂的話也可以找專業的網站安全公司處理,滲透測試服務中檢測的漏洞較多,下一篇文章,我們SINE安全繼續跟大家講解,科普滲透測試,讓您的網站APP更安全。