逻辑漏洞概述[通俗易懂]

大家好，又见面了，我是你们的朋友全栈君。

访问：
主体与客体之间的信息流动。主动的是主体，被动的是客体。

主体访问客体的四个步骤：
身份标识->身份验证（数据库匹配信息，判断身份是否合法）->授权（判断身份是谁，管理员或正常账户）->审计（记录操作）

访问控制模型：
自主访问控住（DAC 大部分使用）：由客体的属主自主对客体进行管理，自主决定是否将访问权限授予其他主体。
强制访问控制（MAC 军方或重要政府部门用）：安全策略高于一切，由管理员配置，访问控制由系统实施。
角色型访问控制（RBAC）：使用集中管理的控制方式来决定主体和客体如何交互，更多用于企业中，根据不同的职位来分配不同的权限。

逻辑漏洞：
代码之后是人的逻辑，人更容易犯错，所以逻辑漏洞一直都在，而且由于逻辑漏洞产生的流量多数为合法流量，一般的防护手段或设备无法阻止，也导致了逻辑漏洞成为了企业防护中的难题。

逻辑漏洞分类：

验证机制缺陷
会话管理缺陷
权限管理缺陷
业务逻辑缺陷
登录缺陷
支付逻辑缺陷
API乱用

验证机制
身份标识：whoknows、who has、who is
最常见的方式是信息系统要求用户提交用户名与密码。

权限控制：

从控制力度看，可以将权限管理分为两大类：

功能级权限管理
数据级权限管理
从控制方向看，也可以将权限管理分为两大类：
从系统获取数据比如查询
向系统提交数据比如删除修改

业务逻辑：
每个业务系统都具有不用的业务逻辑，而业务逻辑在人，充分了解程序员思维有助于找到其中的问题所在。
在这里插入图片描述

暴力破解
可利用多余的提示信息（登录失败存在的一些特殊提示信息）和可预测信息（类似user100、user101的用户名、手机号等信息或者初始密码）
弱口令攻击

无效的防重放措施：
比如防止CSRF的token。可以利用Burp Suit Macros（宏）绕过。

无效的登录失败功能处理：

图片验证码绕过：验证码不生效、不更新、不失效，验证码可预测、删除、获取，验证码可识别，寻找其他登录页面。
短信验证码绕过：4/6位暴力破解，篡改手机号，篡改response。

在这里插入图片描述

会话管理问题

令牌（或是Request）具有含义的数据，如：
用户名称：user、admin、system
用户标识：0001、0002、0003
用户权限：admin、00101、01000

令牌可预测：
用户令牌具有一定的规律，可被其他人预测，如身份证号、学号、手机号、时间等

思考：十位的时间戳和十位的顺序码是否安全？
理解：每一秒都会产生十的十次方的可能，爆破难度极大。

令牌可获取：
用户令牌采取不安全的传输、存储，易被他人获取：
用户令牌在URL中传输：明文传输、发送给他人。
用户令牌存储在日志中：未授权用户易获取。

令牌不失效（会造成固定会话攻击）：
用户令牌采取不安全的传输、存储，易被他人获取：
令牌有效期过长（在一段时间内使令牌失效）、令牌尝试次数过多（提交次数一定时要使令牌无效）、无效令牌的重置。

越权操作

越权操作是信息系统中较为常见的一种漏洞，指的是信息系统对用户的操作权限审核不严，从而使得用户进行了自己权限之外的操作。
权限控制的方法：
防火墙ACL策略：主体-规则-客体
Linux文件权限：主体-读写、执行-客体
web应用权限：基于URL、基于方法、基于数据
RBAC：web应用系统常采用此模型。