越权漏洞(IDOR)测试技巧

已于 2022-05-26 12:52:39 修改
阅读量8.5k 收藏 28
点赞数 3
分类专栏: 笔记 文章标签: 安全 web安全 http
于 2022-03-01 14:13:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45244158/article/details/123204757
版权

文章目录

一、IDOR介绍

IDOR,Insecure Direct Object reference,即"不安全的直接对象引用",场景为基于用户提供的输入对象进行访问时,未进行权限验证。IDOR漏洞其实在越权(Broken Access Control)漏洞的范畴之内,也可以说是逻辑漏洞,或是访问控制漏洞,国内通常被称为越权漏洞。

二、常见的测试技巧

1.改变HTTP请求方法

如果某个请求方法无效,那么可以试试其它方法,如GET, POST, PUT, DELETE, PATCH…等,一个通常的技巧就是用PUT和POST进行互换,原因在于服务端的访问控制措施不够完善。

GET /users/delete/VICTIM_ID  --> 403 Forbidden
POST /users/delete/VICTIM_ID  --> 200 OK

2.路径穿越绕过

POST /users/delete/VICTIM_ID  -->  403 Forbidden
POST /users/delete/MY_ID/../VICTIM_ID --> 200 OK
POST /users/delete/..;/delete/VICTIM_ID --> 200 OK

3.改变Content-type(内容类型)

Content-type: application/xml  -->  Content-type: application/json

4.用数字ID替换非数字

GET /file?id=90ri2xozifke29ikedawOd
GET /file?id=302

5.大小写替换绕过

GET /admin/profile --> 401 Unauthorized
GET /ADMIN/profile --> 200 OK

6.用通配符替换ID

GET /api/users/<user_id>/ --> GET /api/users/*

7.给Web应用提供一个请求ID,哪怕它没作要求

如果Web应用在请求动作中没有ID号要求,那么可以尝试给它添加一个ID号看看会发生什么。比如添加一个随机ID号、用户ID、会话ID,或是其它的对象引用参数,观察服务端的响应内容。

GET /api_v1/messages --> 200 OK

GET /api_v1/messages?user_id=victim_uuid --> 200 OK

8.HTTP参数污染,为同一参数提供多个值。

用HTTP参数污染方式针对同一参数去给它多个不同的值,这样也是可以导致IDOR漏洞的。因为Web应用可能在设计时不会料想到用户会为某个参数提交多个不同值,因此,有时可能会导致Web后端接口的访问权限绕过。

GET /api_v1/messages?user_id=ATTACKER_ID&user_id=VICTIM_ID
GET /api_v1/messages?user_id=VICTIM_ID&user_id=ATTACKER_ID

GET /api_v1/messages?user_id[]=ATTACKER_ID&user_id[]=VICTIM_ID
GET /api_v1/messages?user_id[]=VICTIM_ID&user_id[]=ATTACKER_ID

9.更改文件类型。添加不同的文件扩展名(例如.json, .xml, .config)

切换请求文件的类型可能会导致Web服务端在授权处理上发生不同,如在请求URL后加上一个.json,看看响应结果如何。

GET /user_data/123 --> 401 Unauthorized
GET /user_data/123.json --> 200 OK

10.JSON参数污染

POST /api/get_profile
Content-Type: application/json
{"user_id" :<id_1>,"user_id" :<id_2>}

11.在请求体用数组包装参数值

{"id":111} --> 401 Unauthriozied
{"id":[111]}  --> 200 OK

12.尝试不同版本的API

GET /v2/users_data/1234 --> 403 Forbidden
GET /v1/users_data/1234 --> 200 OK

三、总结

IDOR是一类逻辑漏洞的思路,思路主要是贴合业务。需要站在业务流的角度去思考,如何产生安全隐患。案例只是对于思路的一种应用,对于不同的业务流程和特点,IDOR是能够变化出各种各样的独特思路。

实战漏洞挖掘案例总结:审查日志漏洞、JS文件漏洞、Grafana面板绕过漏洞IDOR漏洞引起的越权漏洞、子域接管漏洞挖掘技巧、API漏洞挖掘实战、Azure DNS接管漏洞挖掘
代码讲故事
12-02 1555
实战漏洞挖掘案例总结:审查日志漏洞、JS文件漏洞、Grafana面板绕过漏洞IDOR漏洞引起的越权漏洞、子域接管漏洞挖掘技巧、API漏洞挖掘实战、Azure DNS接管漏洞挖掘。 漏洞(vulnerability)是指系统中存在的一些功能性或安全性的逻辑缺陷,包括一切导致威胁、损坏计算机系统安全性的所有因素,是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。由于种种原因,漏洞的存在不可避免,一旦某些较严重的漏洞被攻击者发现,就有可能被其利用,在未授权的情况下访问或破坏计算机系统。
怎样进行越权测试
yxx1990的博客
04-17 8336
要了解越权测试,首先要先了解什么是越权攻击。 越权攻击顾名思义就是超越了自己的权限范围,是指用户通过某种方式获取到了不属于自己的权限。越权攻击分为水平越权和垂直越权。 下面我们先来说一下水平越权 水平越权:攻击者尝试访问与他权限相同的用户资源。比如说在修改用户信息时,在浏览器上用户可以看到该用户的ID是多少,如下图 这里如果攻击者通过猜测或者其他途径获取到了其他用户的ID是多少,那么就可以在浏览器的地址栏里将ID直接换成要攻击的用户ID,就可以访问被攻击用户的用户信息并对其进行修改。 再举一个例子.
96.网络安全渗透测试—[常规漏洞挖掘与利用篇12]—[越权漏洞测试]
qwsn
02-04 3972
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、越权漏洞测试 1、什么是越权漏洞 2、越权漏洞的分类 (1)平行越权漏洞: (2)垂直越权漏洞: 3、平行越权测试 (1)两个相同权限的账号 (2)两个相同权限账号的购物订单:`qwsn1的订单` (3)两个相同权限账号的购物订单:`qwsn2的订单` (4)水平越权总结:`【相同用户权限之间的越权就做水平越权】` 4、垂直越权测试 (1)不同权限的账号 (2)用qwsn1用户发布一个帖子 (3)用admin登录
渗透越权测试
09-22
越权渗透测试,学习视频。
逻辑漏洞越权漏洞,从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
03-22 722
顾名思义,越权漏洞就是由于设计上的缺陷对应用程序的权限做的不好。通俗点来说,就是用户A可以通过某种方式查看到用户B的个人信息,或者可以查看管理员C的一些相关信息。
Web 攻防之业务安全越权访问漏洞 测试.
网络安全领域___专研者.
03-23 9042
逻辑漏洞越权 概括: 由于没有对用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)范围内的操作。(比如:通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据。 使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。 通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作)
越权测试是什么?
sunshine__sun的博客
02-06 1818
垂直越权:由于后台应用没有做权限控制,或仅仅在菜单、按钮上做了权限控制,导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的,例如:通一个公司不同权限的管理员A和B,通过修改请求,管理员A可以修改不在他管辖范围内的信息;水平越权:由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞,例如:2个不同的公司A和B,通过修改请求,公司A可以任意修改B公司的信息;越权分为2种:水平越权和垂直越权
分享一次水平越权漏洞测试过程
人生不怕起点低,就怕没追求
11-24 2331
视频客服系统业务逻辑中存在相同角色的多个二级组织,不同组织之间的数据相互隔离,这就使得存在水平越权的可能。公司小安平台目前支持web系统的安全扫描,但针对越权这一块漏洞,小安平台仅能检测出未授权访问的漏洞,而对垂直越权和水平越权无法进行检测,这就需要人工进行检测。
安全测试-越权漏洞
夜行者的博客
02-18 3038
越权漏洞一般分为横向越权与纵向越权两种 检测方法: 横向越权:选取两个数据权限不同的账户(菜单基本相同,但是菜单中看到的内容不同),修改请求参数进行操作,若能访问到对方用户的数据则存在横向越权。 纵向越权:选取两个权限不同的账户,如管理员与审计员。分别使用管理员去访问审计员的特有菜单,审计员去访问管理员的菜单,若访问成功则存在纵向越权测试时建议可使用burp插件authz进行全覆盖越权测试。 解决方法: 系统应当做好用户权限和数据权限的设计实现,对用户身份进行严格校验 ...
越权测试
酷狗直播-锦凡歆的博客
05-23 1459
越权测试 越权一般分为水平越权和垂直越权,水平越权是指相同权限的不同用户可以互相访 问; 垂直越权是指使用权限低的用户可以访问权限较高的用户。 水平越权测试方法主要是看能否通过A用户的操作影响B用户。 垂直越权测试方法的基本思路是低权限用户越权高权限用户的功能,比如普通用户可 使用管理员功能 作者: 锦凡歆在‘来疯’直播唱歌最好听 修复建议 服务端需...
IDOR漏洞
tomyyyyy
02-27 1082
IDOR漏洞 一、概述 IDOR,Insecure Direct Object reference,即"不安全的直接对象引用",场景为基于用户提供的输入对象进行访问时,未进行权限验证,是一类访问控制漏洞。在OWASP API安全前10名的API漏洞中排名第一。IDOR漏洞其实在越权(Broken Access Control)漏洞的范畴之内,也可以说是逻辑漏洞,或是访问控制漏洞,国内通常被称为越...
论文研究-一种Web应用越权漏洞自动化检测实现 .pdf
08-18
一种Web应用越权漏洞自动化检测实现,净山,徐国爱,作为互联网的高速发展的产物,Web应用已经暴露出越来越多的安全问题。为了弥补传统商业软件对于Web应用越权漏洞检测能力的不足,本
越权漏洞
heihei
08-20 6720
讲讲越权那些事 简要 越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽,对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。​如何发现越权 为了不影
安全测试越权测试
人生苦短,何妨一试
07-22 2038
在进行越权测试时,测试人员会尝试通过不合适的方式访问系统内的资源,以检验系统是否可以成功阻止这些未经授权的访问。:如果应用成功地阻止了访问,那系统应对此进行相应的响应,如返回"403 Forbidden"错误信息。:在进行测试之前,测试人员需要了解应用程序是如何验证用户访问权限的。例如,在一个银行应用中,用户A试图访问用户B的帐户信息。:之后,测试人员会尝试访问他们不应该能访问的资源。安全性是任何系统的核心要素,通过进行越权测试,我们可以更好地保障系统的安全性,防止未经授权的访问。
AppScan之越权测试
weixin_54787369的博客
11-06 2933
一、操作步骤 1、双击运行AppScan,选择file-new新建扫描,选择扫描模板default 2、弹出扫描配置对话框,选择扫描类型,默认为Web-Application-Scan,点击next 3、在starting URL中填入需要扫描的目标服务器域名或IP地址,其他配置不需修改,点击next 4、选择默认的Recorded-Loging(recommend-method),点击new 5、在弹出的页面中用权限较高的用户身份登录,如:admin等 6、关闭页面,弹出对话框OK 7、不需修改任何参数,
渗透测试-越权查询漏洞
道阻且长,行则将至
08-08 4328
背景介绍 钻石代理商马春生同学卷款逃跑,多位下级代理内心受到了难以磨灭的伤害,为了找到她我们将通过代理网站获取到她的手机号码等信息。 实训目标 1.了解越权漏洞的相关知识; 2.熟练的使用burp工具获取用户信息; 3.掌握一定的前端知识; 解题方向 越权访问,遍历用户信息。 靶机平台 墨者学院——身份认证失效漏洞实战: https://www.mozhe.cn/bug/detail/eUM3Sk...
BurpSuite越权测试
liuqinhou的博客
02-09 1752
越权测试
burpsuite实践-越权漏洞测试思路一
卫恪游的测试博客
08-26 2526
写在前面 本文涉及到三种越权思路,每种方式分别对应了一个实际的案例分享。这是自己在平时的测试中积累并值得分享的一些测试经验,可能不能将问题探究到多深入,希望文中的思路能有所用。 修改返回包的越权 前情提要 “修改返回包”这个越权的应用场景是一个请求使用加密算法加密请求的应用系统,测试过程中几乎所有的请求均加密,返回包为明文,此处可以使用如下案例中的方式进行越权测试。 案例分享 功能...
高效揭露安全漏洞!用Auth Analyzer插件批量测试接口越权安全测试快人一步!
测试萌萌
11-13 742
接口越权漏洞修复后,再重复以上步骤复测即可。希望这篇文章对大家有所帮助,提升接口越权测试的粒度和效率。
dvwa逻辑越权漏洞的防御措施
02-21
### DVWA 中逻辑越权漏洞的防御方法 为了有效防止逻辑越权(Insecure Direct Object References, IDOR漏洞,在设计和实现应用程序时应遵循最佳实践。以下是针对 DVWA 平台中的逻辑越权漏洞的具体防护措施: #### 权限验证机制 确保每次访问敏感资源或执行操作前都严格检查用户的权限状态。即使 URL 或请求参数中包含了对象标识符,也应当通过服务器端代码确认当前用户是否有权访问该特定资源[^1]。 ```python def check_user_permission(user_id, resource_id): # 假设这里有一个数据库查询来验证用户权限 has_access = db.query(f"SELECT * FROM permissions WHERE user_id={user_id} AND resource_id={resource_id}") if not has_access: raise PermissionError("User does not have access to this resource.") ``` #### 使用间接引用映射 (Indirect Reference Maps) 代替直接暴露内部实体ID给客户端,可以采用一种称为“间接引用”的方式处理数据索引。即创建一个临时性的、不可预测的键值表用于转换实际存储位置与对外呈现形式之间的关系。 例如,当显示文章列表时,不向浏览器发送真实的记录编号而是随机生成的一组字符串作为替代标记;只有经过身份认证的服务端才能解析这些代号并定位到对应的文档实例上。 #### 实施严格的输入校验策略 对于任何来自外部的数据源——无论是GET还是POST提交的内容亦或是Cookie里的信息片段——均需进行全面细致地过滤清洗工作,剔除潜在危险字符组合的同时还要限定允许范围内的数值区间以及长度规格等属性特征。 ```javascript function validateInput(inputValue) { const allowedPattern = /^[a-9-_]+$/; // 定义合法模式 return allowedPattern.test(inputValue); } ``` #### 日志审计跟踪功能 启用详尽的日志记录体系以便于事后分析异常行为模式。每当发生涉及重要资料变更的操作之时,务必将其详情登记入册,包括但不限于发起者账号名、动作描述语句连同时间戳记等等要素一并保存下来供后续审查之用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值