首页 > 其他分享 >【Web攻防之业务安全实战指南】第6章 业务授权访问模块

【Web攻防之业务安全实战指南】第6章 业务授权访问模块

时间:2023-12-16 17:44:26浏览次数:35  
标签:Web 攻防 URL 业务 用户 访问 数据包 admin 越权

6.1 非授权访问测试

6.1.1 测试原理和方法
非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访问到的页面或文本信息。可以尝试在登录某网站前台或后台之后,将相关的页面链接复制到其他浏览器或其他电脑上进行访问,观察是否能访问成功。

6.1.2 测试过程
靶场:xvwa-Missing Functional Access Control

靶场下载链接:xvwa

URL:http://192.168.2.14/xvwa/vulnerabilities/missfunc/

1.登录admin账号

用户名:admin,密码:admin

 2.进入Missing Functional Access Control,查看item=4,点击View

 

3.复制URL在另一个浏览器中打开(或者burp抓包删除cookie),在不登陆的情况下也可以查看数据

URL:http://192.168.2.14/xvwa/vulnerabilities/missfunc/?item=4&action=view

 

6.1.3 修复建议
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露,所以对未授权访问页面做Session认证,并对用户访问的每一个URL做身份鉴别,正确地校验用户ID及Token等。

6.2 越权测试

6.2.1 测试原理和方法
越权一般分为水平越权和垂直越权,水平越权是指相同权限的不同用户可以互相访问;垂直越权是指使用权限低的用户可以访问权限较高的用户。

6.2.2 测试过程
靶场:pikachu-Over Permission

靶场下载链接:pikachu

6.2.2.1 水平越权测试

URL:http://192.168.2.14/pikachu/vul/overpermission/op1/op1_login.php

1.点击查看个人信息,burp抓包查看lucy个人信息

用户名:lucy,密码:123456

点击查看个人信息:

 burp拦截请求,username的值替换成lili用户

 放行,检查前台页面变化,账号个人信息已经变化

 

6.3 垂直越权

我们先登录超级管理员的账号

这里有两个用户admin/123456,pikachu/000000。admin是超级管理员

打开 BurpSuite 抓包,然后添加一个用户

把这个请求发送到 Repeater 中,然后退出管理员账号,重放这个数据包,这时候用户是会添加失败的,因为没有登录状态

登录普通用户账号,取出当前账号的Cookie

 用上图中的Cookie修改我们刚刚发送到 Repeater 中那个数据包的  Cookie,再重放这个数据包。这时候就添加了另一个用户,第一个是超级管理员添加的;另一个是普通用户重放超级管理员的数据包添加的。

 后台没有判断发送这个数据包的用户权限,而是直接执行了

 

 

标签:Web,攻防,URL,业务,用户,访问,数据包,admin,越权
From: https://www.cnblogs.com/xfbk/p/17902439.html

相关文章

  • 拓展了个新业务枚举类型,资损了
    分享是最有效的学习方式。案例背景翻车了,为了cover线上一个业务场景,小猫新增了一个新的枚举类型,盲目自信就没有测试发生产了,由于是底层服务,上层调用导致计算逻辑有误,造成资损。老板很生气,后果很严重。产品提出了一个新的业务场景,新增一种套餐费用的计算方式,由于业务比较着急,......
  • SCUCTF2023-WEB部分wp
    川大新生赛,出的确实有点水平的,通过一些渠道看了看题打了一些,有些地方还是值得学习学习的。不鸽了,先写点吧。因为他们是校园网访问,所以我这边也只能通过一些其他的方法去打,没截图....有附件能复现的尽量复现一下。主要看的是【Web】SCU新生赛个人wp及完赛感想-CSDN博客这篇blog......
  • JavaScript: WebGL3D
    fragment.bns 文件用NotePad打开 WebGL3D用tomcat浏览#version300esprecisionmediumpfloat;uniformfloatuR;invec3vPosition;//接收从顶点着色器过来的顶点位置invec4finalLight;//接受顶点着色器传过来的最终光照强度outvec4fragColor;voidmain(){......
  • 电脑时间不同步导致的上网报错:core/proxy/vmess/encoding: failed to read response h
    报错内容: 2023/12/1614:08:56[Warning][775541588]xxxxx.com/core/app/proxyman/outbound:failedtoprocessoutboundtraffic>xxxxx.com/core/proxy/vmess/outbound:connectionends>xxxxx.com/core/proxy/vmess/outbound:failedtoreadheader>xxxx......
  • 发现隐藏的 Web 应用程序漏洞
    随着Web2.0的扩展,近年来社交媒体平台、电子商务网站和电子邮件客户端充斥着互联网空间,Web应用程序已变得无处不在。国际知名网络安全专家、东方联盟创始人郭盛华透露:‘应用程序消耗和存储更加敏感和全面的数据,它们成为对攻击者更具吸引力的目标。“常见攻击方式该领域存......
  • HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容。没有为请求的
    HTTP错误403.14-ForbiddenWeb服务器被配置为不列出此目录的内容。出现以上这个错误可能有如下解决方法:1.将应用程序池设置成V4.02.在配置文件中加上以下几句代码:<system.webServer><modulesrunAllManagedModulesForAllRequests=“true”/><directoryBrowseenabled=“......
  • 基于Web足球青训俱乐部管理后台系统-计算机毕业设计源码+LW文档
    摘要随着社会经济的快速发展,人们对足球俱乐部的需求日益增加,加快了足球健身俱乐部的发展,足球俱乐部管理工作日益繁忙,传统的管理方式已经无法满足足球俱乐部管理需求,因此,为了提高足球俱乐部管理效率,足球俱乐部管理后台系统应运而生。本文重点阐述了足球青训俱乐部管理后台系统的......
  • webview和h5通信
    有个需求是web-view嵌入h5页面,这时需要知道h5的路有变化,以下是一个简单的实现1.vue页面使用wx.miniProgram.postMessage发送消息beforeRouteLeave(to,from,next){wx.miniProgram.postMessage({data:{cardId:0,title:'电子名片'}......
  • Java Web开发阶段注解
    @Component标注Spring管理的Bean,使用@Component注解在一个类上,表示将此类标记为Spring容器中的一个Bean通过路径扫描来自动侦测以及自动装配到Spring容器中@Controller用于指示Spring类的实例是一个控制器,相对于实现Controller接口更加简单,使用Controller注解可以同时处理多个......
  • SuperMap iClient3D for WebGL/WebGPU
    主要介绍SuperMapiClient3DforWebGL/WebGPU的入门用法,详细的接口参数请参考API页面。准备获取SuperMapiClient3DforWebGL/WebGPU开发时需要引入SuperMapiClient3DforWebGL/WebGPU。其中包括必备的CSS文件和JS文件。你可以通过以下几种方式获取:SuperMapiCl......