網站安全維護當中,程序代碼的設計邏輯漏洞,以及用戶權限越權漏洞是比較常見的,
在許許多多的電商以及APP網站裡,很多前端業務需要處理的部分驗證了用戶的登錄狀態,
並沒有詳細的對後面的一些功能以及業務的處理進行用戶權限的安全判斷,導致發生一些管
理員用戶權限操作的業務,可以用普通用戶權限去執行,導致網站越權漏洞的發生。
邏輯漏洞以及越權漏洞範圍還包括這個數據庫操作,mysql,oracle數據庫,以及APP裡的rpc
沒有對用戶權限進行安全判斷效驗導致一些任意數據讀取的安全漏洞。
沒有對用戶權限進行安全判斷效驗導致一些任意數據讀取的安全漏洞。
在網站數據調用過程中,只能瞭解到前期的用戶請求是來自於某個應用層,或者來自於APP裡
的一個rpc應用層的調用,根本無法做到是哪個用戶去請求的,不如某個遊戲APP裡用戶的某些
請求,無法對其進行嚴謹的安全判斷與過濾,請求的用戶是否擁有改查詢數據的權限,或者是
網站某功能的訪問權限。目前國內大多數的互聯網公司,以及移動APP公司,都採用的開源軟
件和代碼,或者是在開源的基礎上去二次開發,導致安全的漏洞頻頻發生,因為這些開源的軟
件,以及網站程序代碼都不會太安全,攻擊者也會深入其中的挖掘漏洞,因為開源所以防護者
與攻擊者都是相互在一個起跑線上對抗。
的一個rpc應用層的調用,根本無法做到是哪個用戶去請求的,不如某個遊戲APP裡用戶的某些
請求,無法對其進行嚴謹的安全判斷與過濾,請求的用戶是否擁有改查詢數據的權限,或者是
網站某功能的訪問權限。目前國內大多數的互聯網公司,以及移動APP公司,都採用的開源軟
件和代碼,或者是在開源的基礎上去二次開發,導致安全的漏洞頻頻發生,因為這些開源的軟
件,以及網站程序代碼都不會太安全,攻擊者也會深入其中的挖掘漏洞,因為開源所以防護者
與攻擊者都是相互在一個起跑線上對抗。
目前我們eSafe白帽資安網公司接觸到一些網站跟APP,前端安全防護部署的都還不錯,有的用CDN,
以及前端的代碼注入防禦,但是邏輯跟越權漏洞,不是靠CDN的防禦去防的,而是從自身代碼
裡去找出網站的越權以及邏輯漏洞,並進行代碼的漏洞修復,防止越權邏輯漏洞的發生。有些
客戶的主機也沒有做安全部署,內網的安全不盡人意,數據隨意讀取,系統之間互相可以登
錄,甚至普通用戶都可以做到管理員的操作,可以想像一下帶來的危害有多大。
以及前端的代碼注入防禦,但是邏輯跟越權漏洞,不是靠CDN的防禦去防的,而是從自身代碼
裡去找出網站的越權以及邏輯漏洞,並進行代碼的漏洞修復,防止越權邏輯漏洞的發生。有些
客戶的主機也沒有做安全部署,內網的安全不盡人意,數據隨意讀取,系統之間互相可以登
錄,甚至普通用戶都可以做到管理員的操作,可以想像一下帶來的危害有多大。
對於越權、邏輯的鑒權模型,是要對網站代碼、以及APP裡的data數據與瀏覽數據進行安全分
離部署,並建立相對的信任模型,白名單安全模型,對用戶的權限,以及操作進行詳細的安全
鑒權,把權限落實的每一個用戶的操作細節當中去,才能更好完善整個網站安全,以及APP安
全。
離部署,並建立相對的信任模型,白名單安全模型,對用戶的權限,以及操作進行詳細的安全
鑒權,把權限落實的每一個用戶的操作細節當中去,才能更好完善整個網站安全,以及APP安
全。
關於網站安全與邏輯、越權漏洞的修復建議:
1. 對於一些需要公開的數據與用戶的功能,單獨出一個安全API接口供他們使用。
2. 禁止掉除了信任的進程意外的通信,保證接口的唯一安全性。
3. http get post corba等協議,進行協議的安全過濾。
4. 設計代碼的同時,要一開始就考慮到要外部使用可視化,對權限的判斷放在第一位。