越权访问(Broken ACCESS Control)说明及解决方案
越权访问(Broken ACCESS Control,简称BAC)是一种很常见的逻辑安全漏洞,是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。
越权访问呢可以理解为服务端对客户端提出的数据操作请求过分的信任,一个用户一般只能对自己本身的信息进行增删改查,然而由于后台开发人员的疏忽,没有在用户进行增删改查时进行用户判断。忽略了该用户的权限判定,导致攻击账户拥有了其他账户的增删改查。
越权访问漏洞分为 水平越权和垂直越权访问。
- 水平越权:相同权限下不同的用户可以互相访问。
- 垂直越权: 低权限的用户可以访问到权限较高的用户。
首先介绍以下访问控制示意图:
1.垂直越权
垂直越权是在不同级别之间或不同角色之间的越权,垂直越权分为向上越权和向下越权。
- 向上越权: 普通用户有管理员用户的权限
- 向下越权: 即管理员有普通的的权限。
垂直越权原因: 由于后台没有做权限控制,或者仅仅在菜单上做了权限,而没有在URL做权限,导致恶意用户猜测其他管理页面的URL或者敏感的参数信息就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。
垂直提升的危害性更大。通过垂直越权,黑客能够获得一个更高级别的权限,通常来说,是应用的管理员或系统的 ROOT 权限。拥有高等级权限后,黑客自然就能够获取到大部分的数据了。除此之外,通过高等级的权限,黑客还能够禁用审计功能、删除相关日志,从而隐匿自己的行踪,让你无法发现攻击事件的存在。
2.水平权限&同角色互访问题
假设用户A和用户B同属普通用户角色,拥有相等的权限等级,他们都等获取自己的数据,但如果系统只验证了访问权限的(比如普通用户只能访问),而没有对数据做细分或者校验,导致用户A能访问用户B的数据,这种行为就叫做水平越权访问。
水平提升是指黑客获取了另外一个“平级”用户的权限。尽管权限等级没变,但因为黑客控制的用户身份发生了变更,所以黑客能够获得新的数据和权限。比如,常见的普通用户被盗号就是一种水平提升。黑客本来只能够登录自己的账号,但他却通过破解密码的方式,登录到其他用户的账号,从而可以查看他人的个人信息,利用他人账号进行交易转账。
3.解决方案
首先,最基础的防护是从制度和技术上去落实最小权限原则。所谓最小权限原则,就是给每一个用户和进程等,只分配它们需要用到的权限。从技术实现上来说,
可以通过配置一定的访问控制策略来进行强化,比如在 Linux 中给予特定进程单独的角色权限等,这部分内容我会在后续的课程中详细介绍。通过最小权限原则的
落实,你就能够限制黑客在每一次权限提升时得到的收益,甚至阻断黑客权限提升的可能。
其次,就是利用 **IDS(**Intrusion Detection System,**入侵检测系统)**对黑客的异常行为进行检测。IDS 的检测原理就是,通过分析正常用户和黑客在网络层或者主机层中的行为异同,来识别黑客的攻击。比如,正常用户不会去连接内网中不相干的主机,而黑客则必须通过扫描去探测内网等。
越权访问(Broken ACCESS Control)说明及解决方案相关推荐
- 【webGoat】Broken Access Control
目录 Broken Access Control 一.Insecure Direct Object References(不安全的直接对象引用) 第2题: 第3题: 第4题: 第5题: 二.Missi ...
- WebGoat (A5) Broken Access Control -- Missing Function Level Access Control (缺少功能级访问控制)
目录 一.一起来玩躲猫猫ヾ(•ω•`)o 第2页 第3页 1.简单思路 2.复杂思路 二.简陋的脑图 一.一起来玩躲猫猫ヾ(•ω•`)o 第2页 要求找到两个藏起来的菜单项 . 我用的是chrome浏 ...
- 水平越权访问与垂直越权访问漏洞
目录 前言 越权访问漏洞 水平越权访问漏洞 垂直越权访问漏洞 防范措施 前言 电网机巡智能管控平台是XX省电力巡检智能管控平台,辅助全省无人机巡线作业工作顺利.高效开展.由于今年互联网出现了严重的安全 ...
- WEB安全之:越权访问
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关.倡导维护网络安全人人有责,共同维护网络文明和谐. 越权 ...
- J0ker的CISSP之路:复习Access Control(10)
本文同时发布在:[url]http://netsecurity.51cto.com/art/200806/77992.htm[/url] 在<J0ker的CISSP之路>的上一篇文章< ...
- mysql越权漏洞_Fortify漏洞之Access Control: Database(数据越权)(示例代码)
继续对Fortify的漏洞进行总结,本篇主要针对 Access Control: Database(数据越权)的漏洞进行总结,如下: 1.Access Control: Database(数据越权) ...
- RBAC(Role-Based Access control)权限模型--基于角色的权限分配解决方案
一.背景 为了达成不同的帐号登陆系统后能看到不同的页面,能执行不同的功能的目标,我们有很多种解决方案,RBAC(Role-Based Access control)权限模型 ,也就是基于角色的权限分配 ...
- [认证授权] 6.Permission Based Access Control
在前面5篇博客中介绍了OAuth2和OIDC(OpenId Connect),其作用是授权和认证.那么当我们得到OAuth2的Access Token或者OIDC的Id Token之后,我们的资源服务 ...
- CISCO SECURE ACCESS CONTROL SERVER
CISCO SECURE ACCESS CONTROL SERVER 安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案.它是用于管理企业网络用户.管理员和网络基础设施资源的集成 ...
最新文章
- 阿里巴巴python库_年薪20万阿里巴巴Python工程师面试题曝光
- 利用OpenCV进行图像的轮廓检测
- python壁纸程序代码_python设置windows桌面壁纸的实现代码
- how to export many stock data from Wind terminal
- PMP每日三题(2022年2月14日)
- 三菱fx3uplc恢复出厂设置_三菱fx3uplc解密过程与步骤分享
- iOS开发之--改变系统导航的颜色,字体,还有返回样式的自定义
- (14)H5新增表单属性
- 算!力!羊!毛!5000核时计算资源终于开放使用了!
- 服装关键点检测算法(CNN/STN)含(4点、6点以及8点)
- 在Linux下安装和使用MySQL
- css模拟title和alt的提示效果[转]
- 网上关于豆瓣的思考搜集
- pandas的自带数据集_Pandas教程:初学者入门必备,很全面,很详细!
- fabs在python中是什么意思_Python fabs() 与 abs() 区别是什么?
- 著名的软件系统开发公司有哪些公司
- 转载(deepin商店下载微信登录显示版本过低无法登录)
- Matlab 图像转极坐标系
- iCoremail企业邮箱移动办公新突破
- linux修改用户描述的命令,Linux修改用户信息(usermod)