其中不安全對象引用指的是平行權(quán)限的訪問控制缺失�����,比方說���,A和B兩個同為一個網(wǎng)站的普通用戶��,他們之間的個人資料是相互保密的���,A用戶的個人資料可以被B用戶利用程序訪問控制的缺失惡意查看�,由于A用戶和B用戶之間是一個同級的賬號���,因此稱為平行權(quán)限的訪問控制缺失���。功能級別訪問控制缺失指的是垂直權(quán)限的訪問控制缺失,比方說���,A賬號為普通賬號���、B賬號為管理員賬號����,B賬號的管理頁面時必須是以管理員權(quán)限登錄后方可查看,但A賬號可通過直接輸入管理頁面URL的方式繞過管理員登錄限制查看管理頁面����,由于A用戶和B用戶的權(quán)限是垂直關(guān)系,因此稱為垂直權(quán)限的訪問控制缺失�����。該類型屬于業(yè)務(wù)設(shè)計缺陷的安全問題,因此傳統(tǒng)的掃描器是無法發(fā)現(xiàn)的��,只能通過手工的滲透測試去進行檢查�。在金融平臺中以平行權(quán)限的訪問控制缺失較為常見。
案例
在金融交易平臺中�,該類型的安全漏洞主要出現(xiàn)在賬號余額查詢,賬號個人資料篡改等功能上����。下面我們通過幾個簡單的案例給大家進行說明
⑴ 任意修改用戶資料
某交易平臺的用戶可以通過該系統(tǒng)的個人資料修改頁面修改個人的昵稱和頭像。
截取發(fā)送修改請求的數(shù)據(jù)包抓取進行分析��。我們發(fā)現(xiàn)在提交的過程中���,其實請求自帶了一個隱藏的參數(shù)investor.loginName����,其實investor.loginName為登錄的手機號碼(或用戶名)�����,investor.Name為重置的用戶名����,通過直接修改掉參數(shù)investor.loginName為任意注冊的用戶名或者手機號碼���,即可成功篡改重置該用戶的用戶名。
⑵ 任意查詢用戶信息
在對金融交易平臺測試的過程中����,我們發(fā)現(xiàn)大部分平臺并未對查詢功能進行優(yōu)化,使用用戶的uid之類的賬號標志參數(shù)作為查詢的關(guān)鍵字�,并且未對查詢范圍進行控制,導(dǎo)致出現(xiàn)任意信息查詢的安全漏洞�。該類型漏洞在手機客戶端較為常見,如在某交易平臺手機商城就發(fā)現(xiàn)了任意查詢其他用戶信息的安全問題�����。
小編推薦閱讀
