网络安全的逻辑漏洞

本文涉及的产品
访问控制,不限时长
简介: 一、逻辑漏洞1.简介2.详细解读3.常见的逻辑漏洞4.如何挖掘逻辑漏洞5.交易支付中的逻辑问题 6.密码修改逻辑漏洞(1)需要验证原密码(2)不需要验证原密码二、越权访问1.水平越权2.垂直越权3、越权访问修复

一、逻辑漏洞

1.简介

   逻辑漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额等。

   对常见的漏洞进行过统计,发现其中越权操作和逻辑漏洞占比最高,在我们所测试过的平台中基本都有发现,包括任意查询用户信息、任意删除等行为;最严重的漏洞出现在账号安全,包括重置任意用户密码、验证码暴力破解等。    

2.详细解读

   其中不安全对象引用指的是平行权限的访问控制缺失,比方说,A和B两个同为一个网站的普通用户,他们之间的个人资料是相互保密的,A用户的个人资料可以被B用户利用程序访问控制的缺失恶意查看,由于A用户和B用户之间是一个同级的账号,因此称为平行权限的访问控制缺失。功能级别访问控制缺失指的是垂直权限的访问控制缺失,比方说,A账号为普通账号、B账号为管理员账号,B账号的管理页面时必须是以管理员权限登录后方可查看,但A账号可通过直接输入管理页面URL的方式绕过管理员登录限制查看管理页面,由于A用户和B用户的权限是垂直关系,因此称为垂直权限的访问控制缺失。该类型属于业务设计缺陷的安全问题,因此传统的扫描器是无法发现的,只能通过手工的渗透测试去进行检查。在金融平台中以平行权限的访问控制缺失较为常见。

3.常见的逻辑漏洞

交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等各类逻辑漏洞。

4.如何挖掘逻辑漏洞

   确定业务流程--->寻找流程中可以被操控的环节--->分析可被操控环节中可能产生的逻辑问题--->尝试修改参数触发逻辑问题

5.交易支付中的逻辑问题

1、加入购物车时是否可以修改购买数量为负数,商品价格是否可以修改.

2、确认购物车信息时是否可以修改商品数量为负数,是否存在折扣限制突破问题,是否可以修改商品总金额.

3、输入物流信息时是否可以控制运费,如果可以,尝试修改为负数.

4、确认订单后跳转支付接口时是否可以修改支付金额,可否不支付直接跳转到交易成功环节.


6.密码修改逻辑漏洞

(1)需要验证原密码

· 验证不输入原密码可否修改,xss或抓包将提交原密码的参数进行删除

· 验证原密码输入处是否准在sql注入

· 验证是否跳过输入原密码可以直接修改

(2)不需要验证原密码

· 验证修改密码提交数据中是否包含了用户身份信息

· 验证提交的用户身份信息被修改后是否可以成功修改

· 验证修改cookie中的每一项包含用户身份的信息是否回影响修改结果

· 验证是否可以在不登陆的情况下直接提交修改密码的请求进行修改

· 验证是都可以越权任意修改用户密码

二、越权访问

   越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。

其中越权访问又分为两种

   该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。越权访问漏洞主要分为水平越权访问和垂直越权访问。


1.水平越权

   水平越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞。由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞。


假设用户A和用户B属于同一角色,拥有相同的权限等级,他们能获取自己的私有数据(数据A和数据B),但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据(数据B),那么用户A访问数据B的这种行为就叫做水平越权访问。

2.垂直越权

   垂直越权是一种“基于URL的访问控制”设计缺陷引起的漏洞,又叫做权限提升攻击。

   由于后台应用没有做权限控制,或仅仅在菜单、按钮上做了权限控制,导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。

3、越权访问修复

1、基础安全架构,完善用户权限体系。要知道哪些数据对于哪些用户,哪些数据不应该由哪些用户操作;

2、鉴权,服务端对请求的数据和当前用户身份做校验;

3、不要直接使用对象的实名或关键字。

4、对于可控参数进行严格的检查与过滤!

5、前后端同时对用户输入信息进行校验,双重验证机制

6、调用功能前验证用户是否有权限调用相关功能

执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限

7、直接对象引用的加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
2天前
|
存储 安全 算法
网络安全与信息安全:漏洞、加密技术及安全意识的重要性
如今的网络环境中,网络安全威胁日益严峻,面对此类问题,除了提升相关硬件的安全性、树立法律法规及行业准则,增强网民的网络安全意识的重要性也逐渐凸显。本文梳理了2000年以来有关网络安全意识的研究,综述范围为中国知网中篇名为“网络安全意识”的期刊、硕博论文、会议论文、报纸。网络安全意识的内涵是在“网络安全”“网络安全风险”等相关概念的发展中逐渐明确并丰富起来的,但到目前为止并未出现清晰的概念界定。此领域内的实证研究主要针对网络安全意识现状与问题,其研究对象主要是青少年。网络安全意识教育方面,很多学者总结了国外的成熟经验,但在具体运用上仍缺乏考虑我国的实际状况。 内容目录: 1 网络安全意识的相关
|
3天前
|
安全 网络安全 数据安全/隐私保护
数字堡垒的裂缝与钥匙——网络安全漏洞、加密技术与安全意识的博弈
【10月更文挑战第28天】在数字化时代的浪潮中,网络世界如同一座座坚固的堡垒,保护着数据的安全和隐私。然而,这些堡垒并非不可攻破。网络安全漏洞的存在,如同隐藏在城墙之下的裂缝,时刻威胁着堡垒的安全。而加密技术,则是守护这些堡垒的金钥匙,它能够将信息转化为只有授权者才能解读的密文,确保通信的安全。但是,即便有了最先进的加密技术,如果缺乏足够的安全意识,这座堡垒也会变得脆弱不堪。因此,了解网络安全漏洞、掌握加密技术,并培养良好的安全意识,是我们在数字世界中保护自己的重要手段。
|
1天前
|
存储 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第30天】在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术以及安全意识等方面的知识,帮助读者更好地了解网络安全的重要性,提高自己的网络安全意识和技能。
|
2天前
|
SQL 安全 算法
网络安全之盾:漏洞、加密与意识的三重奏
【10月更文挑战第29天】在数字时代的交响乐中,网络安全扮演着至关重要的角色。本文将通过三个乐章——网络安全漏洞的揭示、加密技术的奥秘解析以及安全意识的培养,带领读者深入理解网络安全的重要性。我们将一起探索如何通过技术手段和人文关怀来构建一个更安全的网络环境。
|
2天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第29天】在数字化时代,网络安全和信息安全已经成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者更好地了解网络安全的重要性,并采取相应的措施保护自己的信息安全。
11 0
|
2天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第29天】随着网络技术的飞速发展,网络安全问题日益凸显。本文将围绕网络安全漏洞、加密技术和安全意识等方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络攻击手段和防御策略,以及介绍加密技术的基本原理和应用实例,帮助读者更好地理解和应对网络安全挑战。
|
3天前
|
安全 网络安全 数据安全/隐私保护
网络安全的盾牌与矛:漏洞、加密技术与安全意识
【10月更文挑战第28天】在数字时代的浪潮中,网络安全的重要性日益凸显。本文将深入探讨网络安全的核心要素,包括常见的安全漏洞、先进的加密技术和不可或缺的安全意识。通过分析这些关键因素,我们旨在为读者提供一套实用的知识框架,帮助他们在网络世界中更好地保护自己和组织的安全。文章还将分享一些实际案例,以增强理论与实践的结合。
|
3天前
|
SQL 安全 算法
网络安全与信息安全:漏洞、加密技术与安全意识的交织
【10月更文挑战第28天】在数字时代的浪潮中,网络安全与信息安全成为保护个人隐私和企业资产的重要盾牌。本文将深入探讨网络安全中的常见漏洞,介绍加密技术的基本概念及其在保护数据中的应用,并强调提高安全意识的重要性。通过分析具体案例和提供实用的防护措施,旨在为读者提供一个全面的网络安全知识框架,以应对日益复杂的网络威胁。
17 4
|
2天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务中的信息安全技术
【10月更文挑战第29天】在数字化时代的浪潮中,云计算作为一种革命性的技术,正日益成为企业和个人数据存储与处理的首选方案。然而,随之而来的网络安全问题也愈发复杂和严峻。本文将深入探讨云计算服务中的网络安全挑战,并分析如何通过先进的信息安全技术来加强保护措施。我们将从云服务的基础知识出发,逐步深入到网络安全的各个方面,包括数据加密、身份验证、访问控制等关键技术的应用。通过理论与实践的结合,旨在为读者提供一套全面而实用的云计算安全指南。
|
3天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第28天】在数字化时代,网络安全和信息安全已经成为了我们生活中不可或缺的一部分。然而,随着技术的发展,网络安全漏洞也越来越多,加密技术和安全意识的重要性也越来越被人们所认识。本文将分享一些关于网络安全漏洞、加密技术和安全意识的知识,帮助读者更好地保护自己的网络信息安全。