网站渗透测试服务之越权漏洞检测

          在给很多客户做渗透测试服务的时候,很多都是存在这个暴露的信息,那有的时候我曾经就碰到过这样一个漏洞,客户他是没有对在这个页面去做任何的处理的,然后我遍历不同的用户信息,我发现它暴露出来的是用户的身份证、手机号以及它的这个订单号,所以这就属于比较危险。

就是保单其实也比较敏感,但是它这个时间也比较久了,所以就拿来举个例,告诉大家就是这个敏感接口,你不能把它暴露在公网上,即使你必须要这么做的时候,你要做好相应的这个登录验证,敏感接口最好就不要把它放在公网上了,尤其是放在官网上。很多客户说参数的名字你给他设置了复杂一点隐蔽一点,尽量不要被别人去这个模糊测试出来。那这也是一个思路。

那第二个的话就是一个水平越权,那水平越权的话就是我开头讲过的是同等级用户之间的越权。我们这里的话查看到的一个漏洞案例,它是通过便利这个 user、content ID contempt ID,那便利这个凭证它是可以查看到不同的乘车人信息的,也就是说他没有对这这一块的越权做一个处理,本来我登录之后我是我自己的账户去登录的,然后查看到我本人的信息,但是我我去修改这个优的ID值竟然就看到了不其他用户的这样一些信息,那这是一个属于典型的一个水平越权。

那有的时候还可以去查看一些积分信息,或者是造成一些积分的上面的问题,这本来是我上节课提到的这样一个内容,然后我还是把它放到这节课,这是某教育品牌的网站,登录进去之后,你是可以去注册个账号,然后去领取这个天才斗,领取了之后它是可以去换东西的。你可以看到那么它这里可以去兑换什么,宝贝,那豆子换宝贝,宝贝可以换一些商品什么的。

确认兑换之后,他是抓到了这样一个包,抓到这个包以后,这你会发现它本来是一个兑换的按钮,但是它是有个ID,那本身我是用我的ID然后我把它修改为别人的ID,再点击放包,放包之后,你会发现这个宝币给放到别人的账户上面去了,那这样的话就造成一个我的积分打给别人这样一种情况。

其实这种的话,也是目前来说也是有一些网站存在的,但更多的情况下可能是余额,比如说我在充值的时候,不能说充值,反正就是一些转移交易的时候,没有做好相应的处理,导致本来应该充到我账户上的钱,结果冲到别人账户上去了,这属于一种平行越权。但其实你要说这个危害的话,按理说它是扣费的话,是从这个ID所指定的用户上面去进行一个扣费了。

也就是说我积分本来我好好的积分,但是突然被扣掉充到了别人的账户上去,那这个是属于一个有危害的水平越权,也就是这个人的ID是真正扣积分的ID,但是它可能有别的一些参数是设置了这个充值到哪个账户上面去的这样一些参数,导致扣的是别人的积分,但是真正充到的钱却是充到我的账户上。

分享: