代码审计——未授权访问详解

news/2024/11/13 4:27:08/

为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓

    • 01 漏洞描述
    • 02 审计要点
    • 03 漏洞特征
    • 04 漏洞案例
    • 05 修复方案

01 漏洞描述


未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址,或者不允许查看的链接便可进行访问,同时进行操作。

简单来说,就是用户不经过身份认证即可访问敏感资源,可能造成敏感信息泄露,或者其他恶意操作。

在这里插入图片描述

02 审计要点


未授权访问的根本原因是系统鉴权机制不完善,用户直接输入URL便可对原本不允许查看的内容进行访问。

当判断代码中是否存在未授权访问漏洞时,可从以下2点进行判断:

1、是否使用了身份认证的框架?如spring security安全框架。

2、是否对用户身份进行认证?如cookie或者token认证。

03 漏洞特征

应用没有使用专用的身份认证框架,同时在敏感功能业务访问前,没有对用户的session进行校验。

有时候一些管理页面是禁止普通用户访问的,有时开发者会忘记对这些文件进行权限验证,导致漏洞发生。

该缺陷还往往产生在如下场景:

1、在UI中泄露了敏感功能,客户端仅通过JavaScript脚本作显示控制;

2、服务端缺失访问敏感功能的的身份鉴别机制;

3、服务端的访问敏感功能的身份鉴别机制存在缺陷,身份鉴别信息可由攻击者伪造;

4、敏感的文件名/方法名容易被猜测。

04 漏洞案例

在这里插入图片描述


在代码审计的过程中,可收集出现的接口以及系统功能地址,在测试环境下利用http请求工具批量对接口及url进行未授权访问测试。

漏洞验证示例如下:


在这里插入图片描述

05 修复方案


1、在打开管理页面URL时,首先判断当前用户是否拥有该页面的权限,如果没有权限,就判定为“权限提升”攻击,同时记录安全日志。

2、设计代码时建议使用成熟的权限框架处理权限问题,比如spring security。


http://www.ppmy.cn/news/429942.html

相关文章

DNF 迷你大乱斗

源码 import time from ctypes import * import win32api import win32con import PySimpleGUI as sgdef main(x,y):user32 windll.user32while True:user32.SetCursorPos(x,y)time.sleep(3)print("开始执行点击操作")win32api.mouse_event(win32con.MOUSEEVENTF_L…

dnf命令参数笔记(man)

主要命令列表: alias 列出或创建命令别名 autoremove 删除所有原先因为依赖关系安装的不需要的软件包 heck 在包数据库中寻找问题 check-update 检查是否有软件包升级 clean 删除已缓存的数据 deplist 列出软件包的依赖关系和提供这些软件包的源 distro-sync 同步已…

DNF检测原理分析篇

前言:看了那么多人发一些心得帖子,看着一些人说的东西有的对有的不对,如下纠正,当然在最后做点小guanggao,呵呵 1 CRC 很多人老是把CRC和检测联系到一起,我也不知道这个概念是谁先灌输的, CRC是一套算法, 目的是来检测代码是否被更改过,所以DNF里 的CRC大都用来检测…

暗黑复仇者3 服务器没有响应,为什么暗黑复仇者3玩不了,为什么暗黑复仇者3进不去...

游戏介绍:暗黑复仇者3国际服是一款万众期待的手机平台最棒的动作角色扮演手游。暗黑复仇者3国际服官网版拥有迄今为止最强大的动作手游画面,带给画面党玩家最叹为观止的享受,丰富的游戏性和完美的打击感,不辜负系列名声的最新力作…

AD17 普通的打螺丝孔

首先,打开PCB,画你需要打孔的区域,封闭式的;如果不是,可以先对线段进行联合; 再选择 工具->转换->G/R/T/B 选择适合自己的方式; 联合和打散也在这里面

车牌检测、车牌四角定位、车牌矫正对齐程序

U2FsdGVkX163lVl9iZ8YqE7AqKqMVOF2hC5rqU5eWFTHkPYqOwg1sdjT6M/vO rDBKVOZwX7p7sjq2lRVBq4obZKyVfJJ6K/CiqB5vTw

车辆检测+车牌识别

车辆检测算法使用YOLOv5实现 自建数据集训练的车辆检测模型,效果还是很棒的 车牌识别使用mtcnn实现车牌检测 lprnet实现车牌号码识别 两者都是pytorch框架 整合在一个工程中实现车辆检测和车牌识别 同时使用pyqt开发可视化界面

[Hadoop实现Springboot之HDFS数据查询和插入 ]

目录 🎃前言: 🎃Spring Boot项目中添加Hadoop和HDFS的依赖。可以使用Apache Hadoop的Java API或者使用Spring Hadoop来简化操作。 🎃 需要配置Hadoop和HDFS的连接信息,包括Hadoop的配置文件和HDFS的连接地址等。 &#x1f38…