iT邦幫忙

2023 iThome 鐵人賽

DAY 17
1
自我挑戰組

馬克的 Kali Linux 與資安學習小筆記系列 第 17

30-17 OWASP - Authorization Testing

  • 分享至 

  • xImage
  •  

https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/05-Authorization_Testing/README

4.5.1 Testing Directory Traversal File Include

Testing Directory Traversal File Include

這個地方主要是在說,大部份的 web server 或 web application 都會將一些 permission 與 role 的資訊放某個檔案,例如 unix base 的 /etc/passwd ,然後這裡駭客會再所有你對外的 api 或啥來進行嘗試,例如 :

http://example.com/getUserProfile.jsp?item=../../../../etc/passwd

然後在進行這種攻擊時有幾個地方可能會被針對 :

  • cookie

  • http query string 或是 body。

  • 然後有些時後會用 url encoding 的方式來代這些東西,例如2e%2e%2f 代表 ../ 之類的。

  • 或是用 utf8 encoding,例如..%c0%af 代表 ../

4.5.2 Testing for Bypassing Authorization Schema

Testing for Bypassing Authorization Schema

這個部份主要是針對 role 與 permission 對 resource ( 被訪問的東東 ) 的機制驗證,主要重點如下 :

  • 是否可以在未經身份驗證的情況下訪問。

  • 是否可以在登出後訪問。

  • 是否可以訪問,不屬於這個 permission 的 resource。

4.5.3 Testing for Privilege Escalation

Testing for Privilege Escalation

這個地方主要是在驗證『 escalating privileges 』,也就是攻擊者是否有辦法將自已的 role 升級更多權限,看起來這裡面都在講 api 相關的修改資料嘗試。

4.5.4 Testing for Insecure Direct Object References

Testing for Insecure Direct Object References

Insecure Direct Object References (IDOR),主要是發生在 application 會基於使用者提到的 input 來直接提供對 resource 的訪問權,也就是說攻擊者能夠繞過 authorization 來訪問 resource。

例如下面的 invoice 就是 IDOR 的範例,他會直接用這個 invoice 去資料庫抓資料,所以這時就可能會發生『 不是這個 invoice 的 user 也可以取得到這個 invoice 的問題 』

http://foo.bar/somepage?invoice=12345

上一篇
30-16 OWASP - Authentication Testing ( 2 )
下一篇
30-18 OWASP - Session Management Testing ( 1 )
系列文
馬克的 Kali Linux 與資安學習小筆記30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言