越权漏洞原理及防御方案

一、漏洞描述越权访问（BrokenAccessControl，简称BAC）是Web应用程序中一种常见的漏洞，由于其存在范围广、危害大，被OWASP列为Web应用十大安全隐患的第二名。该漏洞是指应用在检查授权时存在纸漏，使得攻击者在获得低权限用户账户后，利用一些方式绕过权限检查，访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定，一旦权限验证不充分，就易致越权漏洞。二、漏洞分类越权访问漏洞主要分为水平越权、垂直越权。水平越权：指攻击者尝试访问与他拥有相同权限的用户资源。例如，用户A和用户B水平越权：指攻击者尝试访问与他拥有相同权限的用户资源。例如，用户A和用户B属于同一角色，拥有相同的权限等级，他们能获取自己的私有数据（数据A和数据B），但如果系统只验证了能访问数据的角色，而没有对数据做细分或者校验，导致用户A能访问到用户B的数据（数据B），那么用户A访问数据B的这种行为就叫做水平越权访问。计划专员普通用户导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息，就可以访问或三、漏洞产生的原因通常情况下，一个Web程序功能流程是登录-提交请求-验证权限-数据库查询-返回结果。如果验证权限不足，便会导致越权。常见的程序都会认为通过登录后即可验证用户的身份，从而不会做下一步验证，最后导致越权。通过隐藏URL实现控制访问有些程序的管理员的管理页面只有管理员才显示，普通用户看不到，利用URL实现访问控制，但URL泄露或被恶意攻击者猜到后，这会导致越权攻击。直接对象引用这种通过修改一下参数就可以产生水平越权，例如查看用户信息页面URL后加上自己的id便可查看，当修改为他人的ID号时会返回他人的信息，便产生了水平越权。多阶段功能多阶段功能是一个功能有多个阶段的实现。例如修改密码，可能第一步是验证用户身份信息，号码验证码类的。当验证成功后，跳到第二步，输入新密码，很多程序会在这一步不再验证用户身份，导致恶意攻击者抓包直接修改参数值，导致可修改任意用户密码。静态文件很多网站的下载功能，一些被下载的静态文件，例如pdf、word、xls等，可能只有付费用户或会员可下载，但当这些文件的URL地址泄露后，导致任何人可下载，如果知道URL命名规则，则会便利服务器的收费文档进行批量下载。平台配置错误一些程序会通过控件来限制用户的访问，例如后台地址，普通用户不属于管理员组，则不能访问。但当配置平台或配置控件错误时，就会出现越权访问。四、漏洞利用利用靶场进行越权漏洞演练：首先注册一个普通用户用户注珊用户账号nnaomso *只能用英文和额享用f称：™or™o F以使用中文尊就名：rmorrao 土真冥姓君，注册后元法修改登录逐码：用户n剧：。男@玄°保峦-所在单位：rnaoniao f映填与所在部门：maomao 必寸真与联系电话：rraomao 专感填写电子担箱：maomao f睽埴与密吗问崩：maoriBO 喳码提示密码答案：maomao 嚏S答案碰1.用户登录明称：maomao姓客maomao登陆次数：1次身份：普通用户修改黄料退出登陆这个靶场在“修改资料”处存在垂直越权漏洞，所以点击修改资料，抓包:RequestRawPsramsHeadersHexGET/dfindex.asp?T=myHTTP。，Hpsi：59.633CW.79:8002□sef-Agent:r^ozilaG.O(WindowsNT10.0;心门&旬i64;i-w:6S.Q)GeckofiOlODlDiFirefQx/e9.0Acce|M：te:d/lTtfnlapplicatonMTtiri+xml.appllcaiticin1^ml;q=Q.9尸『;q=0.8如guagsh-CNiZh;q=08,zh-7Wi<3=07,zh-HK;中CIS,en-US;q=03,如:q=0.2Accepl-Encodinggzip.dentateReferer:http：J/S9.63.2na79：@D02fdtiser.asp?acbor^regConnection:closeCoc*ieASPSESSIOWDSaRCQQDS=aANFADAPJLCIFLIDOUJFA;ff/VSsdft^SFZOIOsplione^fflaQmaoSadnin^OSrealnarnesiTiaoniaijSdlcs^iSusernarnesinwiTiaoSbunuen=maCfnaoSlo^innanieamaomaDSdtiinv/ciai-naQniaiOiSsliEnr^naSfiU^erlD0Ltograde-tisecurie-Reciuests:1可以看到admin=0；shenfen=2两个参数。通过调试，我们发现shenfen参数1决定是否为管理员，admin为1代表是管理员，为0代表不是管理员。所以我们将改admin改为1，shenfen参数改为1：Forwdrd Elnjp lnri=n：i»ra,at Aekti rtiu■new|Rmm]ftrmw♦ [He|Fksl5^E3X07BS002UPBi.igwiFAjrtai?.i5[WMawrNr祯D„ x*4;rrfi9Oj PrehxrfiBOAjCMft-LiarflLHFjKSi-CF4xh:a^03:hJWj/UI了tiHVqMJSen-VS:q^OJ,fln:iHD2地龄蚀ona妙i.国flagCfflRMlliXI：CtoG«R<M^her 7口 MFCwttt-AEK^DMDMKaaK^LATIFACtfPJ-CrLDaiFJ.W^5网1*01 rw-iroa™ i<HwiflFwnWSdcE独 n hfflPTTflEB*logmgfShtM 整骂油匚网廿UMrA1中UMiaCM-lfWKuTt-RfrtlUMiSj继续抓包，继续修改。因为修改这个资料参数可能要经过好几个页面的判定。

h-■*13=♦yji~h-■*13=♦yji~>»MfS。色■■券二旦性备■二*二■右塞■二BWSnftR±£#^开"rt：MWESB£:■；j.三据.■-E»RZl-M2D2D-i.1T1433^6MkraEa^"IIE/£ja可：知，TnfipU^i^wwpi^\KSlfc：=i-LSfti婴叨笔逐V：vmiFkoKzM7LS择I」（»i政：以加脆耳如：K^SJf\ftEft™m*wn»HffiS最后我们终于进入了后台，以普通用户的名字，管理员的权限。皆贝・臭・=.颌会员焕YI哺电员怅号管理怪=晚.听在即堂■a■B4Sfl«mUS*nkrik'lrJcnkjIXgnklnk3T«JW由w耐|戏写ill占，Kt*K^ninras.rixzf1JI,1Blfi一mm五、防范措施1、 前后端同时对用户输入信息进行校验，双重验证机制2、 执行关键操作前必须验证用户身份，验证用户是否具备操作数据的权限3、 特别敏感操作可以让用户