• 登录
  • 更多
  • 手机版
  • 鹤城网安巡查执法:【网警提醒】保护个人信息,严防越权访问

    2020-02-27 18:01 来源:鹤城网安巡查执法 浏览:251

    【网警提醒】保护个人信息,严防越权访问

    2016年4月,国内某招聘网站发生一起越权访问漏洞事件,访问者只需要变换URL后面的ID号即可查看当天刚更新的他人简历信息。

    任意用户只要修改URL后面的数字ID

    即可查看他人简历信息

    导致上万份用户简历信息泄露

    这是一起典型的因逻辑漏洞导致用户信息泄露的网络安全事故。



    No.1

    什么是越权访问漏洞?


    越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。

    通俗地理解,一般用户A只能够对自己本身的信息进行增删改查,然而由于后台开发人员的疏忽,没有在信息进行增删改查的时候进行用户判断,从而导致用户A可以对其他用户进行增删改查等操作。

    越权访问分为垂直越权访问水平越权访问




    垂直越权是指不同用户级别之间的越权,如普通用户执行管理员用户的权限。




    水平越权是指相同级别用户之间的越权操作。




    垂直越权是指不同用户级别之间的越权,如普通用户执行管理员用户的权限。



    No.2

    漏洞是如何产生的?


    通常情况下,我们使用一个web应用程序提供的功能时,流程是:

    登录

    ?

    提交请求

    ?

    验证权限

    ?

    数据库查询

    ?

    返回结果


    如果在“验证权限”环节存在缺陷

    那么便会导致越权

    一种常见的存在越权的情形是:Web应用程序的开发者安全意识不足,认为通过登录即可验证用户的身份,而对用户登录之后的操作不做进一步的权限验证,进而导致越权问题。



    No.3

    越权访问漏洞的危害 


    越权访问漏洞的危害主要

    与对应业务的重要性相关

    比如说某一页面服务器端响应(不局限于页面返回的信息,有时信息在响应包中,页面不一定能看见)中返回登录名、登录密码、手机号、身份证等敏感信息,如果存在平行越权,通过对用户ID的遍历,就可以查看所有用户的敏感信息,这也是一种变相的脱库,而且很难被防火墙发现,因为这和正常的访问请求没有什么区别,也不会包含特殊字符,具有十足的隐秘性。

    某网站越权访问漏洞导致部分航班信息泄露



    No.4

    越权访问漏洞的防范


    越权访问漏洞属于web应用的业务逻辑漏洞。对于此类漏洞,第三方检测防护技术尚不成熟。实现应用程序的完善访问控制不是件容易的事,因此越权漏洞防不胜防。




    对于开发者而言,一定要有安全意识,时刻保持警惕。一旦发现越权访问漏洞,需及时通知Web应用开发者修改程序,对用户提交的参数做权限校验。


    另外,开发者需要注意日常网站维护的用户权限验证:




    1、不要轻易相信来自用户的输入,对于可控参数进行严格的检查与过滤;




    2、执行关键操作前必须验证用户身份;




    3、对引用的对象ID进行加密,防止攻击者枚举ID;




    4、前后端同时校验;




    5、调用功能前验证用户是否有权限调用相关功能。


    最后,网警蜀黍提醒

    开发人员及网络安全管理人员

    应不断完善网站及应用的逻辑检测

    严防因越权而导致的用户信息泄露

    文章来源:梅州网警巡查执法

    本站【www.jk6.cc】微信公众账号开通,欢迎关注获取更多精彩内容!

    上一篇:鹤城网安巡查执法:【网警提醒】你还相信扫码就能清理微信“僵尸粉”?小心是圈套!

    下一篇:鹤城网安巡查执法 :【网警提醒】谨慎提防无孔不入的山寨APP

    文章评论 相关阅读
    分享到:
    © 2009-2017 黑龙江百姓之家 www.jk6.cc 黑ICP备14003881号-1
    如有侵权,违法和不良信息举报加QQ:88086788