免费观看又色又爽又黄的小说免费_美女福利视频国产片_亚洲欧美精品_美国一级大黄大色毛片

滲透測試中遇到的越權漏洞該如何解決

2015-09-02    分類: 網站建設

滲透測試在網站,APP剛上線之前是一定要做的一項安全服務,提前檢測網站,APP存在的漏洞以及安全隱患,避免在后期出現漏洞,給網站APP運營者帶來重大經濟損失。下面我們就對滲透測試中的一些知識點跟大家科普一下:

越權漏洞是什么?

詳細的跟大家講解一下什么是越權漏洞,在整個滲透測試過程中,越權漏洞是發生在網站,APP功能里的,比如用戶登錄,操作,提現,修改個人資料,發送私信,上傳圖片,撤單,下單,充值,找回密碼等等,那么可以簡單的理解為,繞過授權對一些需要驗證當前身份,權限的功能進行訪問并操作,舉例來講:在網站APP里的找回密碼功能,正常是按照手機號來進行找回密碼,那么如果存在越權漏洞,就可以修改數據包,利用其它手機號獲取短信,來重置任意手機號的賬戶密碼。發生漏洞的根本原因是對需要認證的頁面存在漏洞,沒有做安全效驗,導致可以進行繞過,大部分的存在于網站端,以及APP端里,像PHP開發的,以及JAVA開發,VUE.JS開發的服務端口都存在著該漏洞,小權限的用戶可以使用高權限的管理操作,這就是越權漏洞。

越權漏洞又分為水平越權,垂直越權,簡單來理解的話,就是普通用戶操作的權限,可以經過漏洞而變成管理員的權限,或者是可以操作其它人賬號的權限,也叫未授權漏洞,正常如果訪問管理員的一些操作,是需要有安全驗證的,而越權導致的就是繞過驗證,可以訪問管理員的一些敏感信息,一些管理員的操作,導致數據機密的信息泄露。垂直越權漏洞可以使用低權限的賬號來執行高權限賬號的操作,比如可以操作管理員的賬號功能,水平越權漏洞是可以操作同一個層次的賬號權限之間進行操作,以及訪問到一些賬號敏感信息,比如可以修改任意賬號的資料,包括查看會員的手機號,姓名,充值記錄,撤單記錄,提現記錄,注單記錄等等,也可以造成使用水平越權來執行其他用戶的功能,比如刪除銀行卡,修改手機號,密保答案等等。

關于越權漏洞的測試方法我們舉例來講解一下:

很多網站,APP設計過程中對ID號是以userid=001等來命名的,我們在登錄網站后,輸入會員的賬號密碼,查看用戶的信息,比如我的查看鏈接是www.xxx.com/u/user.php?user_id=008,打開這里鏈接就可以看到我的詳細信息,包括姓名,注冊的手機號,地址,上傳的圖片,余額等等,那么如果網站存在越權漏洞我們就可以來測試一下,將user_id=008改為user_id=009,打開網站就可以看到其他用戶的詳細信息,以此類推就可以查看任意的賬戶信息,導致信息泄露發生,危害較大。

滲透測試中發現的越權漏洞修復方案

對存在權限驗證的頁面進行安全效驗,效驗網站APP前端獲取到的參數,ID,賬戶密碼,返回也需要效驗。對于修改,添加等功能進行當前權限判斷,驗證所屬用戶,使用seesion來安全效驗用戶的操作權限,get,post數據只允許輸入指定的信息,不能修改數據包,查詢的越權漏洞要檢測每一次的請求是否是當前所屬用戶的身份,加強效驗即可,如果對程序代碼不是太懂的話也可以找專業的網站安全公司處理,滲透測試服務中檢測的漏洞較多。

分享題目:滲透測試中遇到的越權漏洞該如何解決
轉載源于:http://m.newbst.com/news/36668.html

成都網站建設公司_創新互聯,為您提供動態網站品牌網站設計微信小程序移動網站建設網站建設自適應網站

廣告

聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯

成都網頁設計公司