引言
越权漏洞 , 顾名思义就是超越了自身所具备的权限所带来的漏洞 。越权漏洞可以让同等身份的账号具备可以让低权限身份的账号具备高权限账号的能力 , 一旦应用系统中出现了越权漏洞 , 就等于安置了一个“ 隐藏后门”, 将导致网络功能损伤或者隐私泄露等问 题 , 从而造成重大损失[1] 。因此 , 越权漏洞也是 Web 应用安全领域中被尤为关注的一个漏洞门类 。但是近 年来越权漏洞的检测和治理还是比较低效 , 人工检测 漏洞和利用漏洞费时且易出错[2] , 尤其是那些与业务 逻辑强相关的深层次越权漏洞 , 其准确识别与验证成 为众多 Web 应用安全人员面临的主要挑战。
越权漏洞在 Web 应用漏洞类别中通常归为逻辑漏 洞一类 , 逻辑漏洞就是与操作系统 、编程语言 、中间 件 、数据库等组件无关 , 与后端函数实现 、前端页面 表达也无关 , 而是与业务逻辑相关的一种漏洞 。越权 漏洞攻击方法通过利用特定的参数或用户身份提升权 限访问到非授权内容[3] , 例如 , 账号 zhangsan 查询接口“/getUserInfo? uName = zhangsan ”获取自己的个人 信息 , 若 zhangsan 为黑客 , 那么其发起的查询可能为 “/getUserInfo? uName = lisi”, “ lisi ”这个字符串并不 带有任何恶意特征但却完成了越权漏洞的利用 。 目前 业内对于深层越权漏洞的检测主要以人工为主 , 使用 多账号认证凭据替换插件为辅助手段 , 效率低下 , 尚 需一种高效 、可以自动覆盖参数的测试方法。
本文详细内容请下载:
http://www.chinaaet.com/resource/share/2000006985
作者信息:
覃锦端1 , 尉雯雯2 , 王月兵1 , 柳遵梁1 , 刘 聪1
(1. 杭州美创科技股份有限公司 , 浙江 杭州 310015 ;
2. 陆军军医大学第一附属医院 , 重庆 400038)
