越權區分

我是怎麼測試越權的

• 封包
  • 攔截封包使用的軟體
    • Fiddler - Web Debugging Proxy - Telerik
    • Charles Web Debugging Proxy • HTTP Monitor / HTTP Proxy
    • Burp Suite - Application Security Testing Software - PortSwigger
    • 開發者工具 + Python / JavaScript
  • 以上的工具我都會使用

• Business logic vulnerabilities
  • 平時實務操作，我最喜歡檢測的部分就是商業邏輯權限，個人針對商業邏輯權限的弱點精隨就是以非正常流程去檢測。

範例

• 完全相信使用者傳來的資料
  • lab
  • 透過修改封包內的金額來購買購物車的品項
• 相信 Cookie 的內容
  • LAB

常見案例

• 購物車
  • 金額允許負數
  • 數量允許負數
  • 數量超過最大數
    • int overflow ( 2147483647 )
  • 訂單最後確認流程，僅透過前端回傳參數進行確認
  • 優惠代碼未驗證合法性，導致可重複使用
  • 兌換代碼未驗證合法性，導致可重複使用
• 會員系統
  • 過長的字串被截斷，導致後端邏輯異常
  • 權限控管僅驗證信箱域名，可遭駭客利用
  • 修改密碼未驗證原本的密碼可直接修改，且僅透過使用者名稱控制
  • 權限切換未驗證導致駭客可利用
  • 帳號 session 可被解密

資料洩漏

• 

  • 註解可能會有開發者留下來的帳號密碼或是 API KEY

• 

  • GET 參數內容導致敏感資料外洩

• 

  • 密碼欄位未使用 type="password"
  • 導致密碼會顯示在前端，可能會遭有心人於後方窺看

• 

  • debug 訊息未關閉
  • 系統路徑或使用者資訊會外洩

• 

  • HTTP Cookie Secure
  • 這個問題時常在網站弱掃 (VA) 軟體出現

• 

  • 麻煩密碼雜湊加鹽加糖感恩

• 

  • 使用 HTTPS 後有些設定要記得設定