代码审计——未授权访问详解

本文涉及的产品
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
应用实时监控服务-可观测链路OpenTelemetry版,每月50GB免费额度
性能测试 PTS,5000VUM额度
简介: 代码审计——未授权访问详解

01 漏洞描述


未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址,或者不允许查看的链接便可进行访问,同时进行操作。

简单来说,就是用户不经过身份认证即可访问敏感资源,可能造成敏感信息泄露,或者其他恶意操作。

image.png


02 审计要点



未授权访问的根本原因是系统鉴权机制不完善,用户直接输入URL便可对原本不允许查看的内容进行访问。

当判断代码中是否存在未授权访问漏洞时,可从以下2点进行判断:

1、是否使用了身份认证的框架?如spring security安全框架。

2、是否对用户身份进行认证?如cookie或者token认证。

03 漏洞特征

应用没有使用专用的身份认证框架,同时在敏感功能业务访问前,没有对用户的session进行校验。

有时候一些管理页面是禁止普通用户访问的,有时开发者会忘记对这些文件进行权限验证,导致漏洞发生。

该缺陷还往往产生在如下场景:

1、在UI中泄露了敏感功能,客户端仅通过JavaScript脚本作显示控制;

2、服务端缺失访问敏感功能的的身份鉴别机制;

3、服务端的访问敏感功能的身份鉴别机制存在缺陷,身份鉴别信息可由攻击者伪造;

4、敏感的文件名/方法名容易被猜测。

04 漏洞案例

image.png



在代码审计的过程中,可收集出现的接口以及系统功能地址,在测试环境下利用http请求工具批量对接口及url进行未授权访问测试。

漏洞验证示例如下:


image.png


05 修复方案


1、在打开管理页面URL时,首先判断当前用户是否拥有该页面的权限,如果没有权限,就判定为“权限提升”攻击,同时记录安全日志。

2、设计代码时建议使用成熟的权限框架处理权限问题,比如spring security。

目录
打赏
0
0
0
0
10
分享
相关文章
Druid未授权访问 漏洞复现
Druid未授权访问 漏洞复现
11610 0
预防非法访问
【8月更文挑战第19天】
203 7
【漏洞复现】Nodebb 被爆未授权拒绝服务攻击
本文复现了旧版 Nodebb 存在的拒绝服务攻击漏洞,通过本案例提醒各位读者,赶紧升级 Nodebb 的版本,同时提高自身的安全意识,在自己编写代码时,一定要对变量进行校验以及强制类型转换,以防被绕过造成危害!
【WEB安全】详解信息泄漏漏洞
1.1. 漏洞介绍 由于网站管理员运维不当,可能会将备份文件、数据库配置文件等敏感文件存放在WEB目录下公开访问,攻击者可以轻松地访问这些敏感文件,从而了解系统的配置细节、密码信息、数据库凭据等重要数据,扩大的攻击面。 这种泄漏敏感信息的情况就属于信息泄漏漏洞。 1.2. 漏洞发现 主要以目录扫描为主,可参考 目录扫描 (https //blog.gm7.org/个人知识库/0
548 0
详解越权漏洞
1.1. 漏洞原理 越权漏洞是指应用程序未对当前用户操作的身份权限进行严格校验,导致用户可以操作超出自己管理权限范围的功能,从而操作一些非该用户可以操作的行为。 简单来说,就是攻击者可以做一些本来不该他们做的事情(增删改查) 。
2025 0
代码审计——SSRF详解
代码审计——SSRF详解
252 0

云原生

+关注