◆趙少飛 楊 京 楊睿超 孫蕊剛

淺析Web應(yīng)用中的越權(quán)訪問漏洞

◆趙少飛 楊 京 楊睿超 孫蕊剛

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710065）

2020年伊始，新冠狀病毒肆虐，在全民萬眾一心抗擊疫情之際，不法分子利用疫情題材進(jìn)行各種網(wǎng)絡(luò)攻擊行為，面對新的各類網(wǎng)絡(luò)攻擊行為如何進(jìn)行有效的防范，我們需要從根本問題上進(jìn)行考慮，不論怎樣的網(wǎng)絡(luò)攻擊，都是利用Web應(yīng)用中存在的安全漏洞或缺陷進(jìn)行攻擊，只有了解各類安全漏洞及缺陷的原理，就有助于我們掌握Web應(yīng)用本身的安全狀況，進(jìn)而采取有效防控措施。本文主要講解的是被列入2017 OWASP top10中失效的訪問控制，即越權(quán)訪問。

越權(quán)訪問；安全漏洞；OWASP

回顧2019年，大規(guī)模的數(shù)據(jù)泄露事件頻頻發(fā)生，呈現(xiàn)爆發(fā)遞增的趨勢。據(jù)安全情報(bào)供應(yīng)商Risk Based Security（RBS）的2019年Q3季度的報(bào)告，2019年1月1日至2019年9月30日，全球披露的數(shù)據(jù)泄露事件有5183起，泄露的數(shù)據(jù)量達(dá)到了79.95億條記錄。2019年7月，智能家居公司Orvibo的數(shù)據(jù)庫泄露涉及超過 20 億條IoT日志，2019年9月，厄瓜多爾Novaestrat公司服務(wù)器發(fā)生數(shù)據(jù)泄露涉及超過2000萬人的記錄。大量的信息數(shù)據(jù)泄露事件發(fā)生都是由攻擊者利用信息系統(tǒng)本身的一些安全漏洞，拿到系統(tǒng)權(quán)限而獲得到的，而越權(quán)漏洞就是其中最常見的一種安全漏洞。

1 何為越權(quán)

越權(quán)，意思指超出了權(quán)限或權(quán)力范圍。大多數(shù)Web應(yīng)用程序都具備權(quán)限控制功能，一旦權(quán)限控制功能設(shè)計(jì)存在缺陷，攻擊者就可以利用這些缺陷對Web應(yīng)用程序進(jìn)行未經(jīng)授權(quán)訪問，以此來竊取敏感數(shù)據(jù)，這就是我們通常說的越權(quán)漏洞。

2 越權(quán)分類

越權(quán)一般分為水平越權(quán)、垂直越權(quán)及權(quán)限框架缺陷三類。

（1）水平越權(quán)

水平越權(quán)是指權(quán)限平級的兩個(gè)用戶之間的越權(quán)訪問，也是攻擊者嘗試訪問與他擁有相同權(quán)限的用戶的資源。例如，某電網(wǎng)系統(tǒng)有省級和市級兩級管理員， A賬號為A市管理員，B賬號為B市管理員，兩個(gè)賬戶訪問該系統(tǒng)的權(quán)限是相同的，但是A賬號涉及的資源信息和B賬號涉及的資源信息不同。此時(shí)，A賬號通過攻擊手段訪問了B賬號的資源信息，這就是水平越權(quán)漏洞。

（2）垂直越權(quán)

垂直越權(quán)是指權(quán)限不等的兩個(gè)用戶之間的越權(quán)訪問，也可以理解為攻擊者利用一個(gè)低權(quán)限的用戶通過修改用戶參數(shù)可以拿到高權(quán)限用戶的訪問資源。例如某電網(wǎng)系統(tǒng)分為省級管理員和市級管理員，省級管理員可以對全省電網(wǎng)系統(tǒng)具有管理權(quán)限，而市級管理員只有對該市電網(wǎng)系統(tǒng)具有管理權(quán)限，如果市級管理員能利用某種攻擊手段訪問到省級管理員所具有管理功能，那就是垂直越權(quán)。

（3）權(quán)限框架缺陷

權(quán)限控制框架是實(shí)現(xiàn)權(quán)限控制功能的基礎(chǔ)，權(quán)限控制框架在設(shè)計(jì)之初就存在缺陷，很容易導(dǎo)致權(quán)限控制相關(guān)功能失效。例如在用戶訪問cookie中使用簡單的權(quán)限標(biāo)識(shí)來標(biāo)記用戶的權(quán)限等級或使用用戶請求參數(shù)中所帶的簡單用戶ID來控制用戶權(quán)限等，都是典型的權(quán)限框架缺陷。

3 產(chǎn)生條件

Web應(yīng)用程序訪問流程一般為：登錄—提交請求—驗(yàn)證權(quán)限—數(shù)據(jù)庫查詢—返回結(jié)果。如果驗(yàn)證權(quán)限環(huán)節(jié)出現(xiàn)問題，就會(huì)導(dǎo)致越權(quán)。一般的Web應(yīng)用程序在確認(rèn)用戶通過登錄后即認(rèn)可用戶的身份，從而不會(huì)對用戶權(quán)限進(jìn)行進(jìn)一步的驗(yàn)證，往往會(huì)導(dǎo)致越權(quán)。

（1）文件下載

許多Web應(yīng)用程序都具有下載功能，允許會(huì)員下載一些xls、word等類型的靜態(tài)文件，但如果對這些文件的 URL沒有做權(quán)限限制，一些URL地址一旦泄露，任何人都可以下載，一旦攻擊者知道這些URL命名規(guī)則，則會(huì)對服務(wù)器的文檔進(jìn)行批量下載。

（2）對象引用

通過修改用戶訪問參數(shù)可以產(chǎn)生越權(quán)，例如在訪問A用戶信息時(shí)，地址欄中會(huì)顯示用戶A的ID信息，對用戶A的ID信息進(jìn)行修改，修改成其他人的ID信息返回其他人的信息，這就產(chǎn)生了越權(quán)。

（3）隱藏的URL

有些Web應(yīng)用程序管理員會(huì)對一些管理URL進(jìn)行隱藏，一般用戶看不到，只有通過管理員賬戶才能顯示，這些隱藏的URL利用URL不可見來實(shí)現(xiàn)訪問控制，一旦這些URL地址泄露或被攻擊者猜到后，就會(huì)導(dǎo)致越權(quán)。

（4）多階段功能

多階段功能是一個(gè)功能有多個(gè)階段的實(shí)現(xiàn)。比如修改密碼，可能第一步是驗(yàn)證用戶身份信息，號碼驗(yàn)證碼類的。當(dāng)驗(yàn)證成功后，跳到第二步，輸入新密碼，很多程序會(huì)在這一步不再驗(yàn)證用戶身份，導(dǎo)致惡意攻擊者通過抓包的方式直接修改參數(shù)值，導(dǎo)致可修改任意用戶密碼。

（5）平臺(tái)配置錯(cuò)誤

一些Web應(yīng)用程序會(huì)通過控件來限制用戶的訪問，例如后臺(tái)地址，普通用戶不屬于管理員，則不能訪問，但當(dāng)平臺(tái)配置出現(xiàn)錯(cuò)誤時(shí)，也許就會(huì)導(dǎo)致越權(quán)訪問。

4 越權(quán)測試

對于滲透測試，可以對一些請求進(jìn)行抓包操作，或者查看請求的URL地址，對于關(guān)鍵的參數(shù)，修改下值，查看返回結(jié)果來初步判定。登錄兩個(gè)權(quán)限不同的賬戶，相互輔助來確定是否存在越權(quán)。

常見的越權(quán)高發(fā)功能點(diǎn)有：依據(jù)訂單號查找訂單、依據(jù)用戶 ID 查看賬戶信息、修改/找回密碼等。

對于代碼審計(jì)，可以先查看前端的網(wǎng)頁源碼，查看一些操作的表單提交的值。查看配置文件和一些過濾器，看是否對URL有相關(guān)的篩選操作。最后查看后臺(tái)處理邏輯，是否存在身份驗(yàn)證機(jī)制、邏輯是否異常，有時(shí)的邏輯漏洞也可導(dǎo)致越權(quán)操作。

一般測試時(shí)，需要權(quán)限不同的兩個(gè)賬戶測試，大概流程圖如圖1。

5 越權(quán)防范

越權(quán)的威脅在于一個(gè)賬戶即可控制全站用戶數(shù)據(jù)，當(dāng)然這些數(shù)據(jù)僅限于存在漏洞功能對應(yīng)的數(shù)據(jù)。越權(quán)漏洞的成因主要是因?yàn)殚_發(fā)人員在對數(shù)據(jù)進(jìn)行增、刪、改、查詢時(shí)對客戶端請求的數(shù)據(jù)過分相信而遺漏了權(quán)限的判定。針對越權(quán)漏洞產(chǎn)生的原因制定出響應(yīng)的防范措施。

（1）通過采用類似spring security等成熟的權(quán)限管理框架，規(guī)范系統(tǒng)的用戶權(quán)限。

（2）可以從用戶的加密認(rèn)證cookie中獲取當(dāng)前用戶id，防止攻擊者對其修改?；蛟?session、cookie 中加入不可預(yù)測的 user 信息。

（3）每次頁面訪問時(shí)對用戶權(quán)限進(jìn)行驗(yàn)證，采用表單或其他參數(shù)提交用戶進(jìn)行訪問操作的憑證時(shí)，應(yīng)盡可能采用難以猜測的構(gòu)造方式（增加字母及隨機(jī)數(shù)字等）或采用復(fù)雜的加密算法加密后提交，在客戶端和服務(wù)器端對提交的憑證或會(huì)話的權(quán)限進(jìn)行驗(yàn)證。

（4）對管理功能模塊進(jìn)行嚴(yán)格的權(quán)限驗(yàn)證，如非必要建議不對互聯(lián)網(wǎng)開放或進(jìn)行網(wǎng)絡(luò)層的訪問控制。

圖1 測試流程圖

6 結(jié)束語

在5G、大數(shù)據(jù)及物聯(lián)網(wǎng)流行的當(dāng)下，信息數(shù)據(jù)的保護(hù)顯得尤為重要，企業(yè)作為信息數(shù)據(jù)的保管者和運(yùn)營者，防止攻擊者利用信息系統(tǒng)存在的安全漏洞對系統(tǒng)進(jìn)行攻擊是企業(yè)運(yùn)營的一個(gè)重要環(huán)節(jié)。越權(quán)漏洞作為Web應(yīng)用中的一種常見安全漏洞，利用簡單且危害巨大，一旦被利用成功，會(huì)導(dǎo)致企業(yè)大量敏感信息外泄，對信息系統(tǒng)的機(jī)密性和完整性造成破壞。如何應(yīng)對安全漏洞的頻發(fā)，企業(yè)應(yīng)未雨綢繆，對重要的數(shù)據(jù)資產(chǎn)服務(wù)器進(jìn)行重點(diǎn)防護(hù)與安全配置檢查，定期進(jìn)行漏洞掃描與評估等措施，并引入一些數(shù)據(jù)安全新型技術(shù)防止攻擊者利用信息系統(tǒng)的安全漏洞對企業(yè)信息造成破壞。

[1]趙川，徐雁飛.一種越權(quán)漏洞攻擊方法實(shí)例研究[J].信息安全研究，2019（03）.

[2]李艷華，郝艷，李海威.一種改進(jìn)的Web應(yīng)用越權(quán)漏洞自動(dòng)化檢測方法研究及實(shí)現(xiàn)[J].警察技術(shù)，2017（04）.