逻辑漏洞概述[通俗易懂]

逻辑漏洞概述[通俗易懂]访问:主体与客体之间的信息流动。主动的是主体,被动的是客体。主体访问客体的四个步骤:身份标识->身份验证(数据库匹配信息,判断身份是否合法)->授权(判断身份是谁,管理员或正常账户)->审计(记录操作)访问控制模型:自主访问控住(DAC大部分使用):由客体的属主自主对客体进行管理,自主决定是否将访问权限授予其他主体。强制访问控制(MAC军方或重要政府部门用):安全…

大家好,又见面了,我是你们的朋友全栈君。

访问:
主体与客体之间的信息流动。主动的是主体,被动的是客体。

主体访问客体的四个步骤:
身份标识->身份验证(数据库匹配信息,判断身份是否合法)->授权(判断身份是谁,管理员或正常账户)->审计(记录操作)

访问控制模型:
自主访问控住(DAC 大部分使用):由客体的属主自主对客体进行管理,自主决定是否将访问权限授予其他主体。
强制访问控制(MAC 军方或重要政府部门用):安全策略高于一切,由管理员配置,访问控制由系统实施。
角色型访问控制(RBAC):使用集中管理的控制方式来决定主体和客体如何交互,更多用于企业中,根据不同的职位来分配不同的权限。

逻辑漏洞
代码之后是人的逻辑,人更容易犯错,所以逻辑漏洞一直都在,而且由于逻辑漏洞产生的流量多数为合法流量,一般的防护手段或设备无法阻止,也导致了逻辑漏洞成为了企业防护中的难题。

逻辑漏洞分类:

  1. 验证机制缺陷
  2. 会话管理缺陷
  3. 权限管理缺陷
  4. 业务逻辑缺陷
  5. 登录缺陷
  6. 支付逻辑缺陷
  7. API乱用

验证机制
身份标识:whoknows、who has、who is
最常见的方式是信息系统要求用户提交用户名与密码。

权限控制:

从控制力度看,可以将权限管理分为两大类:

  1. 功能级权限管理
  2. 数据级权限管理
    从控制方向看,也可以将权限管理分为两大类:
  3. 从系统获取数据比如查询
  4. 向系统提交数据比如删除修改

业务逻辑
每个业务系统都具有不用的业务逻辑,而业务逻辑在人,充分了解程序员思维有助于找到其中的问题所在。
在这里插入图片描述

暴力破解
可利用多余的提示信息(登录失败存在的一些特殊提示信息)和可预测信息(类似user100、user101的用户名、手机号等信息或者初始密码)
弱口令攻击

无效的防重放措施
比如防止CSRF的token。可以利用Burp Suit Macros(宏)绕过。

无效的登录失败功能处理:

  1. 图片验证码绕过:验证码不生效、不更新、不失效,验证码可预测、删除、获取,验证码可识别,寻找其他登录页面。
  2. 短信验证码绕过:4/6位暴力破解,篡改手机号,篡改response。

在这里插入图片描述

会话管理问题

令牌(或是Request)具有含义的数据,如:
用户名称:user、admin、system
用户标识:0001、0002、0003
用户权限:admin、00101、01000

令牌可预测
用户令牌具有一定的规律,可被其他人预测,如身份证号、学号、手机号、时间等

思考:十位的时间戳和十位的顺序码是否安全?
理解:每一秒都会产生十的十次方的可能,爆破难度极大。

令牌可获取
用户令牌采取不安全的传输、存储,易被他人获取:
用户令牌在URL中传输:明文传输、发送给他人。
用户令牌存储在日志中:未授权用户易获取。

令牌不失效(会造成固定会话攻击):
用户令牌采取不安全的传输、存储,易被他人获取:
令牌有效期过长(在一段时间内使令牌失效)、令牌尝试次数过多(提交次数一定时要使令牌无效)、无效令牌的重置。

越权操作

越权操作是信息系统中较为常见的一种漏洞,指的是信息系统对用户的操作权限审核不严,从而使得用户进行了自己权限之外的操作。
权限控制的方法:
防火墙ACL策略:主体-规则-客体
Linux文件权限:主体-读写、执行-客体
web应用权限:基于URL、基于方法、基于数据
RBAC:web应用系统常采用此模型。

未授权访问

未授权访问需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可以被操作、数据库、网站目录等敏感信息泄露。
目前主要存在未授权访问的漏洞有
在这里插入图片描述

Web应用权限
正常情况下,管理后台的页面应该只有管理员才能够访问,而且搜索引擎的爬虫也不应该搜索到这些页面,但这些系统未对用户访问权限进行控制,导致任意用户只要构造出了正确URL就能够访问这些页面或者用爬虫爬到页面目录。

防御解决方案
隐藏:只能组织用户无法猜测到后台页面,进行大量爆破还是可能扫描出来的。
页面权限控制:可以阻止非认证用户登录后台。
最好是管理员在内网进行管理。用户在外网进行搜索。

测试方法

  1. Google-Hacking
  2. 域名爆破
  3. 端口服务扫描
  4. 域名关联

越权操作
水平越权:攻击者尝试访问相同级别的用户资源。
垂直越权:攻击者尝试访问更高级别的用户资源。

修复总结
水平越权

  1. 设置合理的会话管理机制,将有关用户标识存在服务器上。
  2. 涉及到关于用户隐私的操作时从session中取出用户标识(如id)进行操作。
  3. 不要轻信用户的每个输入。
    垂直越权
    设置合适的会话管理机制,在每个涉及到高权限操作的页面进行会话验证。

API逻辑漏洞
现在是APP盛行的时代,客户端使用API与服务器进行数据传输,所以API安全问题频出。比如:参数校验、短信邮箱炸弹、关键参数不加密等等。

在这里插入图片描述
未加密风险:凭据、传输数据公开、资源信息泄露。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/130192.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号