逻辑越权
一.类别;
水平,垂直越权,未授权访问
二.原理;
一些思路:MD5,uid
前端安全造成:界面;
1 | 判断用户等级后,代码界面部分进行可选显示; |
后端安全造成:数据库;
如果在访问网站数据包中有传输用户的编号,用户组编号或类型编号的时候,那么尝试对这个值进行修改,就是测试越权漏洞的基本。
三.登录应用功能点安全问题;
1 | 1.演示案例: |
四.找回重置机制;
客户端回显(在本地验证burp抓数据包更改有意义,在服务端验证更改无意义),Response状态值,验证码爆破,找回流程绕过等
五.接口调用乱用;
短信轰炸,来电轰炸等
六.验证码安全;
涉及案例:复用,绕过,识别
- 验证码识别插件及工具操作演示-实例
- 验证码绕过本地及远程验证-本地及实例
- Token客户端回显绕过登录爆破演示-本地
- 某URL下载接口ID值调用遍历测试-实例
- Callback自定义返回调用安全-漏洞测试-实例(思路:xss)
#修复防御方案
1.前后端同时对用户输入信息进行校验,双重验证机制;
2.调用功能前验证用户是否有权限调用相关功能;
3.执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限;
4.直接加密对象引用的资源ID,防止攻击者枚举ID,敏感数据特殊化处理;
5.永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤;