hxd让我给他测测一个ctf靶场是否存在越权,我想也是,直接越权管理员,修改ctf得分,不屈人之兵而胜,确实有点6
叫他给了个高权限账号,再注册个普通用户,高低权限俩账号凑齐
先开俩浏览器,谷歌登录admin,火狐登录张三
注册个张三进去
先登录admin看看有啥接口信息,抓抓返回值
找到个接口 /api/user/getMe
接口/api/user/getMe,明显获取当前用户信息啊
登录张三,则返回信息
得了,现在知道异同了,普通用户ROLE_user、level:0,管理员ROLE_admin、level:0
修改张三的返回信息修改成admin的,用户改不改成admin都行
当然,直接修改那俩值也一样的,本质上是在前端JS进行校验,而不是服务端校验用户身份而导致的越权登录和访问
张三:换我也坐坐
越权访问,这类漏洞是指应用在检查授权(Authorization)时存在纰漏,使得攻击者在获得低权限用户帐号后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查中,这类漏洞往往很难通过工具进行自动化检测,因此在实际应用中危害很大。其与未授权访问有一定差别。目前存在着两种越权操作类型:横向越权操作和纵向越权操作。前者指的是攻击者尝试访问与他拥有相同权限的用户的资源;而后者指的是一个低级别攻击者尝试访问高级别用户的资源
修复:在进行用户操作时,通过Session判断该用户是否具有该功能的操作权限
关注我们,一起成长
原文始发于微信公众号(深夜笔记本):记一次越权
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论