滲透測試公司 對於越權漏洞的檢測與修復
滲透測試在網站,APP剛上線之前是一定要做的一項安全服務,提前檢測網站,APP存在的漏洞以及安全隱患,避免在後期出現漏洞,給網站APP運營者帶來重大經濟損失,很多客戶找到我們SINE安全公司做滲透測試服務的同時,我們積累了十多年的漏洞檢測經驗,對客戶的網站各項功能以及APP進行全面的安全檢測,下面我們就對滲透測試中的一些知識點跟大家科普一下:
越權漏洞是什麼?
詳細的跟大家講解一下什麼是越權漏洞,在整個滲透測試過程中,越權漏洞是發生在網站,APP功能裡的,比如使用者登入,操作,提現,修改個人資料,傳送私信,上傳圖片,撤單,下單,充值,找回密碼等等,那麼可以簡單的理解為,繞過授權對一些需要驗證當前身份,許可權的功能進行訪問並操作,舉例來講:在網站APP裡的找回密碼功能,正常是按照手機號來進行找回密碼,那麼如果存在越權漏洞,就可以修改資料包,利用其它手機號獲取簡訊,來重置任意手機號的賬戶密碼。發生漏洞的根本原因是對需要認證的頁面存在漏洞,沒有做安全效驗,導致可以進行繞過,大部分的存在於網站端,以及APP端裡,像PHP開發的,以及JAVA開發,VUE.JS開發的服務埠都存在著該漏洞,小許可權的使用者可以使用高許可權的管理操作,這就是越權漏洞。
越權漏洞又分為水平越權,垂直越權,簡單來理解的話,就是普通使用者操作的許可權,可以經過漏洞而變成管理員的許可權,或者是可以操作其它人賬號的許可權,也叫未授權漏洞,正常如果訪問管理員的一些操作,是需要有安全驗證的,而越權導致的就是繞過驗證,可以訪問管理員的一些敏感資訊,一些管理員的操作,導致資料機密的資訊洩露。垂直越權漏洞可以使用低許可權的賬號來執行高許可權賬號的操作,比如可以操作管理員的賬號功能,水平越權漏洞是可以操作同一個層次的賬號許可權之間進行操作,以及訪問到一些賬號敏感資訊,比如可以修改任意賬號的資料,包括檢視會員的手機號,姓名,充值記錄,撤單記錄,提現記錄,注單記錄等等,也可以造成使用水平越權來執行其他使用者的功能,比如刪除銀行卡,修改手機號,密保答案等等。
關於越權漏洞的測試方法我們舉例來講解一下:
很多網站,APP設計過程中對ID號是以userid=001等來命名的,我們在登入網站後,輸入會員的賬號密碼,檢視使用者的資訊,比如我的檢視連結是開啟這裡連結就可以看到我的詳細資訊,包括姓名,註冊的手機號,地址,上傳的圖片,餘額等等,那麼如果網站存在越權漏洞我們就可以來測試一下,將user_id=008改為user_id=009,開啟網站就可以看到其他使用者的詳細資訊,以此類推就可以檢視任意的賬戶資訊,導致資訊洩露發生,危害較大。
滲透測試中發現的越權漏洞修復方案
對存在許可權驗證的頁面進行安全效驗,效驗網站APP前端獲取到的引數,ID,賬戶密碼,返回也需要效驗。對於修改,新增等功能進行當前許可權判斷,驗證所屬使用者,使用seesion來安全效驗使用者的操作許可權,get,post資料只允許輸入指定的資訊,不能修改資料包,查詢的越權漏洞要檢測每一次的請求是否是當前所屬使用者的身份,加強效驗即可,如果對程式程式碼不是太懂的話也可以找專業的網站安全公司處理,滲透測試服務中檢測的漏洞較多,下一篇文章,我們SINE安全繼續跟大家講解,科普滲透測試,讓您的網站APP更安全。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2658997/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 區塊鏈app安全防護 滲透測試中發現的越權漏洞分析與修復區塊鏈APP
- 滲透測試對網站漏洞修復執行命令重點檢查網站
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- 網站漏洞檢測 滲透測試檢測手法網站
- 滲透測試對檔案包含漏洞網站檢測網站
- 網站滲透測試安全檢測漏洞網站
- 網站漏洞檢測對漏洞檢測修復方案網站
- 滲透測試之CSRF程式碼漏洞的檢測與加固方案
- 滲透測試公司 對PHP網站安全後門檢測PHP網站
- 邏輯注入漏洞滲透測試檢測辦法
- 網站滲透測試服務之簡訊轟炸漏洞挖掘與修復網站
- APP安全測試 該如何滲透檢測APP存在的漏洞APP
- 滲透測試網站安全漏洞檢測大體方法網站
- 軟體滲透測試基礎知識分享,可做滲透測試的軟體檢測公司有哪些?
- 網站安全公司 滲透測試中的漏洞資訊蒐集網站
- 滲透測試公司對測試報告寫作的乾貨經驗測試報告
- 網站安全測試之APP滲透測試漏洞網站APP
- 網站滲透測試安全檢測方案網站
- 滲透測試9種常見漏洞
- 網站漏洞修復服務商關於越權漏洞分析網站
- 網站漏洞滲透測試覆盤檢查結果分析網站
- 滲透測試-許可權維持
- 滲透測試——提權方式總結
- 滲透測試中最常見的9種漏洞!
- 滲透測試與漏洞掃描有什麼區別?
- 滲透測試會用到哪些工具?滲透測試教程
- 如何學習網站漏洞滲透測試學習網站
- 靜態程式碼檢測工具Wukong對log4J中的漏洞檢測、分析及漏洞修復
- 用APP滲透測試來查詢網站被駭客攻擊的根源以及漏洞修復APP網站
- 網站滲透測試公司的成長之路網站
- 記一次授權滲透測試
- 網站安全維護對公司網站滲透測試剖析網站
- APP安全檢測 滲透測試APP服務介紹與過程APP
- 滲透測試怎麼做?滲透測試的步驟有哪些?
- 滲透測試學習之應對安防和檢測系統五
- 滲透測試學習之應對安防和檢測系統四
- 滲透測試學習之應對安防和檢測系統三
- 滲透測試學習之應對安防和檢測系統二