邏輯漏洞會導致業務面臨著巨大的經濟損失隱患與敏感資料泄露的風險,本文從安全測驗的角度,以越權邏輯漏洞為例,介紹邏輯漏洞的挖掘方法和實踐程序,
一、什么是越權邏輯漏洞
定義: 指由于系統的權限控制邏輯不夠嚴謹,使得系統用戶可以訪問或操作未授權的資料和功能,包括水平越權和垂直越權,
水平越權: 指當系統存在多個相同權限的用戶時,A用戶可以訪問或操作到其他用戶的資源,如圖1.1所示,用戶A、B、C、D都是普通用戶,當用戶A可以訪問到用戶B或者其他用戶資源時,就產生了水平越權,
垂直越權: 指當系統存在不同權限的用戶時,低權限用戶可以訪問或操作到高權限用戶的資源,如圖1.1所示,當普通用戶或者其他低權限用戶可以訪問到比自己權限高的用戶資源時,就產生了垂直越權,
圖1.1
二、越權邏輯漏洞挖掘方法
基于越權邏輯漏洞的定義和分類,從模擬攻擊者攻擊漏洞的角度出發,可以總結出以下兩種挖掘方法,
2.1 未授權訪問測驗
指用戶在沒有通過認證授權的情況下能夠直接訪問需要通過認證才能訪問的頁面或者資訊,具體流程為:
1)統計測驗介面;
2)使用抓包工具獲取介面入參;
3)不填寫cookie或者填寫無效cookie重新請求;
4)查看請求結果,如果回傳了正確cookie才能取得的結果,說明該介面存在未授權訪問漏洞,
2.2 越權訪問測驗
通過抓包修改引數的方式繞過客戶端實施攻擊,從而測驗是否存在越權漏洞,具體流程為:
1)統計測驗介面;
2)使用抓包工具獲取介面入參;
3)水平越權測驗:分析入參中是否標識用戶身份的敏感資訊,如果存在,則修改為其他測驗用戶資訊,重新請求查看回傳結果,若回傳結果正確,則該介面存在水平越權漏洞;
4)垂直越權測驗:分析高級權限用戶的請求入參,將高權限用戶資訊替換為低級權限用戶的資訊,重新請求查看回傳結果,若回傳結果正確,則該介面存在垂直越權漏洞,
三、萬家系統越權邏輯漏洞挖掘實踐
3.1 實作工具和平臺
抓包工具: 使用Charles,它是一個 HTTP 代理、HTTP 監視器、反向代理工具,可以幫助開發人員查看他們的機器和Internet之間的所有HTTP和SSL、HTTPS 流量,包括請求、回應和 HTTP頭(其中包含cookie和快取資訊),官網安裝鏈接:https://www.charlesproxy.com/documentation/installation/
請求平臺: 使用京東內部測驗平臺DeepTest,
3.2 未授權訪問測驗實踐
圖3.1
首先確定測驗介面,京東萬家APP的所有介面都需要登錄才能訪問,因此需要逐一驗證,獲取介面及引數資訊,流程如下:
(1)打開Charles并將手機代理開啟;
(2)檢查手機代理ip及埠是否與Charles設定一致,如不同則將其改為一致;
(3)手機啟動京東萬家APP;
(4)對應Charles中查看相應的介面和請求,如圖3.1所示,
以Charles中的user_baseinfo介面為例,進行未授權訪問邏輯漏洞測驗,首先從Charles的抓包資訊中復制該介面、body和cookie資訊,然后在DeepTest平臺進行介面入參修改并重新請求,其中入參主要修改cookie,原因是登錄資訊的校驗都是從cookie中獲取,因此,進行未授權的測驗的本質就是修改入參中的cookie資訊為無效資訊然后重新請求,注意,cookie無效包括不填寫 cookie或填寫已過期的cookie,如圖3.2所示,此時介面不填寫cookie,但重新請求后,依然可以獲取到結果,即用戶在沒有通過認證授權的情況下依然能夠直接訪問需要通過認證才能訪問的資訊,說明該介面存在未授權訪問邏輯漏洞,
圖3.2
3.3 越權訪問測驗實踐
水平越權測驗: 首先確定所有測驗介面,以萬家APP中訂單詳情介面測驗為例,抓包得到介面入參為:
{"from":"","orderId":"239703099155","sdkClient":"plugin_apple","appName":"apollo","isPublish":"","apolloId":"ca3d","apolloSecret":"7157","wjPin":"ceshibu3"}
分析入參:由于入參中存在orderId和wjPin兩個欄位來標識用戶身份,因此修改其為其他同級別權限用戶資訊,進行水平越權測驗,修改前和修改后的請求及回傳結果如圖3.3所示,令當前登錄用戶為A用戶,修改請求入參的用戶資訊為B用戶,可以發現,修改入參后,A用戶依然可以訪問到B用戶的訂單詳情,也就是當前登錄用戶可以訪問到其他用戶的訂單詳情,說明該介面存在水平越權邏輯漏洞,
圖3.3
垂直越權測驗: 在萬家APP業務中,店主的權限高于店員的權限,因此需要進行垂直越權測驗來驗證店主的資訊是否存在泄漏風險,
首先確定店主比店員多的具體權限,需要具體到每個介面,然后使用店主權限登錄萬家APP,找到只有店主權限才能看到的應用,進行請求、抓包、分析引數、修改引數、重新請求的測驗程序,其中,修改引數指將店主身份的cookie修改為店員身份的cookie,如圖3.4所示,重新請求后可以正常回傳結果,說明該介面存在垂直越權邏輯漏洞,
圖3.4
四、總結與建議
本文介紹了越權邏輯漏洞的基本概念及挖掘方法,并通過萬家APP的三個具體場景,介紹了越權邏輯漏洞挖掘的主要流程,包括:確定測驗介面?抓包獲取介面入參?分析入參?修改入參部分資訊后重新請求?分析回傳結果,最后,通過此次萬家APP的邏輯漏洞挖掘實踐,提出以下兩點建議:
-
建議使用DeepTest介面自動化測驗平臺,可以提高效率,便于維護和回歸,從而使得邏輯漏洞挖掘常態化;
-
建議在作業中培養安全測驗意識,比如:
(1)和賬戶相關的增刪改查操作應使用當前用戶身份約束;
(2)獲取當前用戶身份的方式應從session中獲取;
(3)不以任何客戶端傳遞的明文資料作為鑒權方式;
(4)用戶可見索引欄位應盡量設定成無規律;
(5)建立測驗方法集,不斷積累、執行,將安全測驗常態化,
作者:京東零售 孟迪
來源:京東云開發者社區
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/553838.html
標籤:其他
下一篇:返回列表