作者简介:王蔚 男 某公司安全产品BU研发人员 专注“异常流量识别”领域的研究与改进,擅长网络安全大数据挖掘与分析。
浅谈越权访问
背景
越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。
什么是越权访问
越权访问分为垂直越权访问和水平越权访问。垂直越权是指不同用户级别之间的越权,如普通用户执行管理员用户的权限。水平越权是指相同级别用户之间的越权操作。本文重点介绍水平越权访问。
假设用户A和用户B属于同一角色X,拥有相同的权限等级,他们能获取自己的私有数据(数据A和数据B),但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据(数据B),那么用户A访问数据B的这种行为就叫做水平越权访问。
越权访问漏洞的产生
越权访问漏洞产生的原因是Web程序未对用户提交的参数进行权限校验。
比如,某个订单系统,用户可以查询自己的订单信息。A用户查询订单时,发送的HTTP请求中包含参数“orderid=A”,订单系统取得orderid后最终会查询数据库,查询语句类似于“select * from tablename where orderid = A”。B用户查询订单时,发送的HTTP请求中包含参数“orderid=B”,系统查询数据库语句类似于“select * from tablename where orderid = B”。正常情况下,每个用户只会查询到自己的订单。但是,当B用户将自己的HTTP请求参数修改为“orderid=A”,那么最终B用户执行的数据库语句变成了“select * from tablename whereorderid = A”,导致A的订单信息被B用户获取到了。
一般来说,网站设计者会用户的访问进行权限校验,确保用户仅能访问到属于自己的资源,但是业务复杂到一定程度之后,诸如此类的数据如此之多,从订单信息,到地址数据、支付信息等等,无一不需要小心处理。一旦有所疏漏,就会产生越权访问漏洞。
越权访问漏洞的危害
Web应用程序如果存在越权访问漏洞,可能导致以下危害:
1、导致任意用户敏感信息泄露 2、导致任意用户信息被恶意修改或删除
越权访问漏洞属于Web应用的业务逻辑漏洞。对于此类漏洞,第三方检测防护技术尚不成熟。所以,发现越权访问漏洞,需及时通知Web应用设计者修改程序,对用户提交的参数做权限校验。
越权访问漏洞的实例
最后,举一个越权访问的例子。某电影订票APP,买了电影票后,能查询到自己的订票信息和影票兑换码,查询自己的订单时,URL参数中的id为“25501”。
处于登陆状态时,修改URL中的id,如改为“25240”,可以越权看到其他人的订票信息和兑换码。遍历一下id,就可以拿到所有人的电影票了~
|