iT邦幫忙

2019 iT 邦幫忙鐵人賽

0
Security

資訊安全大補帖系列 第 46

資安補帖─Day46─滲透測試─平行越權

前言

不知道上一篇怎麼突然有衝到500瀏覽量,
嚇到我了QQ
不管怎麼樣,就繼續走下去,
謝謝大家訂閱我XD

何謂平行越權

  • 例子:相同功能,A使用者卻可以使用B使用者的。
  • Top 10-2017 A5-Broken Access Control
    • 無效權限控管
    • 來自 OWASP
  • 攻擊弱點分析
    • 權限控管未詳細驗證
      • 未檢查使用者是否有權限可查閱(或新增、修改、刪除)該項資料
      • 檢查權限但可能因邏輯錯誤而造成攻擊者可繞過驗證
  • 攻擊手法
    1. 攔截封包
      • 可透過瀏覽器開發者工具(F12)查看
      • 點選 Network 即可查閱封包
    2. 封包分析
      • 查看封包結構(如GET或POST參數內容)
        • 可能是會員帳號、會員ID或Token等可代表會員的參數
    3. 重送封包
      • 查看重送封包後的 Response
        • 是否可訪問到非自身可查閱之內容
          • 如果是,則進行深入攻擊
          • 如果否,則尋找其他可疑之脆弱點
  • 修復建議
    • 認真檢視權限控管

參考資料


上一篇
資安補帖─Day45─資安常識小題庫
下一篇
資安補帖─Day47─WAF
系列文
資訊安全大補帖53

尚未有邦友留言

立即登入留言