逻辑越权漏洞—-各种越权和数据篡改

逻辑越权漏洞

水平越权

原理:通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据。
同级别用户的跨越到另一个用户的信息
用户A–用户B–用户C–用户D

其他用户名得到的?

1、从网站评论留言获取
2、从账户注册手段获取

垂直越权

原理:使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。
从低权限跨越到一个高权限,普通用户享受超级管理员的权限
普通用户–>计划专员–>超级查看员–>超级管理员

垂直越权:添加用户或者其他高权限操作
前提条件:获取的有关高权限操作的数据包

数据包如何获取:

1、普通用户前端界面具有高权限操作的按钮,模拟抓取数据包
2、通过网站源码本地搭建去模拟抓取
3、盲猜

登录应用功能点安全问题

检测功能点,危害
1
2
3
4
5
1.登录点暴力破解
2.HTTP/HTTPS 传输--明文与密文传输
3.Cookie脆弱点验证--Cookie的简单验证
4.Session会话固定测试--Session会话未及时清空
5.验证密文比对安全测试--泄露密码加密方式
数据篡改安全问题

原理,检测,危害,修复等
参考:https://www.secpulse.com/archives/67080.html

商品购买流程:

选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付

常见篡改参数:

商品编号 ID,购买价格,购买数量,订单号,支付状态等

修复防御方案

1.前后端同时对用户输入信息进行校验,双重验证机制
2.调用功能前验证用户是否有权限调用相关功能
3.执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限
4.直接加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理
5.永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤

实验

Pikachu-本地水平垂直越权演示
墨者靶场-身份认证失效漏洞实战
HTTP/HTTPS 协议密文抓取
Cookie 脆弱点验证修改测试
niushop商场系统商品支付逻辑测试-数量,订单
大米CMS建站系统商品支付逻辑测试-价格,商品

涉及资源

https://www.mozhe.cn/bug/detail/eUM3SktudHdrUVh6eFloU0VERzB4Zz09bW96aGUmozhe 身份认证失效漏洞实战
https://github.com/huyuanzhi2/password_brute_dictionary 爆破字典
https://pan.baidu.com/s/1wTcWym1gTZOdZsVtCTxNsw 提取码:dana CMS靶场