在日常的企业安全建设中,我遇到最多的就是水平越权漏洞,每天的任务占比最大的也是各种越权检测。企业一般会比较关注用户的敏感信息泄露,现在很多的信息泄露都是由API造成的,相比SQL注入来说,API越权信息泄露可无视waf,遍历成本也很低,可短时间内获取大量信息。而且越权也是很容易产生的问题,平时大家挖src的时候可以多关注关注。
一般测试水平越权漏洞,我会把多余的参数都删掉,搞清楚到底是哪些参数或者cookie字段是用来鉴权的,当我们对鉴权逻辑有个大概了解之后再开始进一步挖掘越权漏洞会清晰的多。
这里讲几个越权的小tips:
1、最简单的越权,就是遍历一个参数,比如userid、orderid等等。我们要多关注整个业务的逻辑,不要放过任何一个操作请求,比如点击修改的时候、点击保存的时候、点击查询的时候、下一步的时候,各种操作的请求包都可能存在越权,挖掘越权最基本的就是要心细。
2、当用两个参数来进行鉴权时,如果两个参数都是数字或遍历成本较低的,同时遍历两个参数,也可以越权。
3、fuzz隐藏参数,在日常工作中查看开发接口文档的时候注意到,有些接口会存在一些隐藏参数,前端应用传递的时候并不会去传递。比如一个接口既可以通过加密后的userid进行鉴权,又可以根据解密后的userid进行鉴权,一般前端应用调用的时候只会传递加密的userid,但是内部测试的时候为了方便可能会直接传递解密的userid,我们通过fuzz类似这种的参数,可能也会发现越权。
4、弱加密方式,鉴权根据cookie中的某个字段,但是这个字段只是对username进行简单的base64编码,或者加密算法可逆,就会造成可伪造任意用户身份导致越权。
5、删除cookie,一般鉴权会把用户身份和操作对象进行关联,但是有些没有处理好用户身份为空的情况,导致删除cookie之后,就饶过了。
越权漏洞大多存在与有敏感信息和敏感操作的接口,敏感信息泄露造成的危害相对来说比较大一点,这里推荐一个burp插件,可以自动高亮有敏感信息的接口,还是非常好用的。
https://github.com/gh0stkey/HaE
没有回复内容