30-17 OWASP - Authorization Testing - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

2023 iThome 鐵人賽

DAY 17

自我挑戰組

馬克的 Kali Linux 與資安學習小筆記系列第 17 篇

30-17 OWASP - Authorization Testing

15th鐵人賽

馬克

2023-10-02 22:30:16

280 瀏覽

分享至

https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/05-Authorization_Testing/README

4.5.1 Testing Directory Traversal File Include

Testing Directory Traversal File Include

這個地方主要是在說，大部份的 web server 或 web application 都會將一些 permission 與 role 的資訊放某個檔案，例如 unix base 的 /etc/passwd ，然後這裡駭客會再所有你對外的 api 或啥來進行嘗試，例如 :

http://example.com/getUserProfile.jsp?item=../../../../etc/passwd

然後在進行這種攻擊時有幾個地方可能會被針對 :

cookie
http query string 或是 body。
然後有些時後會用 url encoding 的方式來代這些東西，例如2e%2e%2f 代表 ../ 之類的。
或是用 utf8 encoding，例如..%c0%af 代表 ../ 。

4.5.2 Testing for Bypassing Authorization Schema

Testing for Bypassing Authorization Schema

這個部份主要是針對 role 與 permission 對 resource ( 被訪問的東東 ) 的機制驗證，主要重點如下 :

是否可以在未經身份驗證的情況下訪問。
是否可以在登出後訪問。
是否可以訪問，不屬於這個 permission 的 resource。

4.5.3 Testing for Privilege Escalation

Testing for Privilege Escalation

這個地方主要是在驗證『 escalating privileges 』，也就是攻擊者是否有辦法將自已的 role 升級更多權限，看起來這裡面都在講 api 相關的修改資料嘗試。

4.5.4 Testing for Insecure Direct Object References

Testing for Insecure Direct Object References

Insecure Direct Object References (IDOR)，主要是發生在 application 會基於使用者提到的 input 來直接提供對 resource 的訪問權，也就是說攻擊者能夠繞過 authorization 來訪問 resource。

例如下面的 invoice 就是 IDOR 的範例，他會直接用這個 invoice 去資料庫抓資料，所以這時就可能會發生『不是這個 invoice 的 user 也可以取得到這個 invoice 的問題』

http://foo.bar/somepage?invoice=12345

30-16 OWASP - Authentication Testing ( 2 )

30-18 OWASP - Session Management Testing ( 1 )

系列文

馬克的 Kali Linux 與資安學習小筆記共 30 篇

RSS系列文訂閱系列文

6 人訂閱

完整目錄

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22077 篇

完賽人數

594 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙

馬克的 Kali Linux 與資安學習小筆記系列 第 17 篇