其中不安全對(duì)象引用指的是平行權(quán)限的訪問(wèn)控制缺失���,比方說(shuō),A和B兩個(gè)同為一個(gè)網(wǎng)站的普通用戶��,他們之間的個(gè)人資料是相互保密的��,A用戶的個(gè)人資料可以被B用戶利用程序訪問(wèn)控制的缺失惡意查看��,由于A用戶和B用戶之間是一個(gè)同級(jí)的賬號(hào)�����,因此稱為平行權(quán)限的訪問(wèn)控制缺失。功能級(jí)別訪問(wèn)控制缺失指的是垂直權(quán)限的訪問(wèn)控制缺失���,比方說(shuō)��,A賬號(hào)為普通賬號(hào)���、B賬號(hào)為管理員賬號(hào),B賬號(hào)的管理頁(yè)面時(shí)必須是以管理員權(quán)限登錄后方可查看�����,但A賬號(hào)可通過(guò)直接輸入管理頁(yè)面URL的方式繞過(guò)管理員登錄限制查看管理頁(yè)面����,由于A用戶和B用戶的權(quán)限是垂直關(guān)系,因此稱為垂直權(quán)限的訪問(wèn)控制缺失��。該類型屬于業(yè)務(wù)設(shè)計(jì)缺陷的安全問(wèn)題�����,因此傳統(tǒng)的掃描器是無(wú)法發(fā)現(xiàn)的�����,只能通過(guò)手工的滲透測(cè)試去進(jìn)行檢查。在金融平臺(tái)中以平行權(quán)限的訪問(wèn)控制缺失較為常見(jiàn)�。
案例
在金融交易平臺(tái)中,該類型的安全漏洞主要出現(xiàn)在賬號(hào)余額查詢�����,賬號(hào)個(gè)人資料篡改等功能上�。下面我們通過(guò)幾個(gè)簡(jiǎn)單的案例給大家進(jìn)行說(shuō)明
⑴ 任意修改用戶資料
某交易平臺(tái)的用戶可以通過(guò)該系統(tǒng)的個(gè)人資料修改頁(yè)面修改個(gè)人的昵稱和頭像��。
截取發(fā)送修改請(qǐng)求的數(shù)據(jù)包抓取進(jìn)行分析���。我們發(fā)現(xiàn)在提交的過(guò)程中���,其實(shí)請(qǐng)求自帶了一個(gè)隱藏的參數(shù)investor.loginName,其實(shí)investor.loginName為登錄的手機(jī)號(hào)碼(或用戶名)���,investor.Name為重置的用戶名�,通過(guò)直接修改掉參數(shù)investor.loginName為任意注冊(cè)的用戶名或者手機(jī)號(hào)碼�����,即可成功篡改重置該用戶的用戶名���。
⑵ 任意查詢用戶信息
在對(duì)金融交易平臺(tái)測(cè)試的過(guò)程中�,我們發(fā)現(xiàn)大部分平臺(tái)并未對(duì)查詢功能進(jìn)行優(yōu)化,使用用戶的uid之類的賬號(hào)標(biāo)志參數(shù)作為查詢的關(guān)鍵字���,并且未對(duì)查詢范圍進(jìn)行控制���,導(dǎo)致出現(xiàn)任意信息查詢的安全漏洞。該類型漏洞在手機(jī)客戶端較為常見(jiàn)����,如在某交易平臺(tái)手機(jī)商城就發(fā)現(xiàn)了任意查詢其他用戶信息的安全問(wèn)題。
小編推薦閱讀
