網站安全測試之APP滲透測試漏洞

網路上，大家經常可以看到資料庫被脫褲、使用者資訊洩露等由於安全漏洞引發的問題，給使用者和企業都帶來了很大的損失。由於公司業務發展迅速，功能不斷增加，使用者數量不斷增加，安全問題日益受到人們的關注。業務部門和安全部門在實踐安全測試時開展合作，早期測試人員和安全同學通過手工執行安全測試用例來發現問題，隨後慢慢地也開始使用一些安全工具，通過自動化的方式來提高發現問題的效率。同時，我們還關注了與業務密切相關的一個安全問題——介面越權問題，並試圖通過自動掃描來發現此類問題，從而提高效率。越權問題是指應用程式對訪問請求的許可權檢查出現漏洞，使攻擊者在使用了未獲得許可權的使用者賬戶之後，以某種方式繞過許可權檢查，以訪問或操作其他使用者或更高許可權者的物件。例如商店A可以檢視商店B的營業資料(水平越權)，商店C的客戶服務人員可以像商店C的店長一樣進行採購(垂直越權)。造成越權漏洞的原因主要是開發人員在對資料進行增、刪、改、查詢時，沒有對請求者是否具有許可權進行驗證。

之所以選擇這類安全問題作為關注物件，有三個原因：本人所在的業務線外部閘道器介面有2000多個，手工測試成本較高，希望通過一些自動化的方法來提高效率。目前市面上的開源軟體對於諸如SQL隱碼攻擊、XSS跨站指令碼、埠暴露等常見的安全問題已經有了較為成熟的解決方案，但很少能針對越權問題提出有效的解決方案。這是因為賬戶許可權體系如何，被請求訪問的物件是否為私有，返回的結果是否包含越權資訊，這三個關鍵因素與業務密切相關，普通方法很難回答這三個問題。而且，業務部門的研發人員對業務知識有了一定的瞭解，或許就能有針對性地回答這三個問題，從而自動找到越權問題。

越早發現和解決安全問題，修復和迴歸的成本就越低，因此希望在早期研究與開發階段就能發現問題。大多數自動化測試工具都是對手工測試的歸納總結，在此，我們首先來梳理一下手工執行越權測試的方法。若您手動測試介面是否越權，則可能採取以下步驟：

在頁面上使用普通帳戶操作請求，如登陸店鋪A的員工帳戶，查詢訂單1，獲取查詢訂單1的請求介面名稱、引數，以及返回新的帳戶，如登陸店鋪B的員工帳戶，呼叫同一次請求，再次查詢訂單1(也可以直接用工具篡改原來請求的cookie來替換原來請求的cookie)，然後觀察此時返回的資訊是否越權。如商店B的員工也獲得了訂單1的資訊，則存在越權問題；如報錯沒有許可權，則說明系統有針對性地進行了許可權檢查。越權漏洞只能是通過滲透測試服務來手動檢測才能檢測出問題來，如果想要進行更詳細的安全測試的話推薦國內網站安全公司SINESAFE,鷹盾安全，綠盟，大樹安全等等這些安全公司來做詳細的滲透測試服務。