Web应用安全测试-权限缺失

Web应用安全测试-权限缺失

Flash跨域访问

漏洞描述:flash跨域通信,依据的是crossdomain.xml文件。该文件配置在服务端,一般为根目录下,限制了flash是否可以跨域获取数据以及允许从什么地方跨域获取数据。举个例子:

 1、www.a.com域下不存在crossdomain.xml文件,则不允许除了www.a.com域之外的其他任何域下的flash进行跨域请求。

2、www.a.com域下存在crossdomain.xml文件,如若配置 allow-access-from 为www.b.com,则只允许www.b.com域下的flash进行跨域请求,以及来自自身域www.a.com的网络请求。 crossdomain.xml需严格遵守XML语法,有且仅有一个根节点cross-domain-policy,且不包含任何属性。在此根节点下只能包含如下的子节点:

site-control

allow-access-from

allow-access-from-identity

allow-http-request-headers-from

如果crossdomain.xml文件配置allow-access-from为*,将允许任何域下的flash进行跨域请求。

测试方法: 下面列举一个具体的利用场景:

http://www.xxx.com/crossdomain.xml,文件内容如下图所示:

利用开源的FlashHTTPRequest,下载地址:https://github.com/mandatoryprogrammer/FlashHTTPRequest,FlashHTTPRequest,使用方法参考README。

在本地服务器编写一个HTML页面,嵌入FlashHTTPRequest.swf,此页面的目的是获取受害者的账号设置页面:http://www.xxx.com/user-setting,源代码如下:

<!DOCTYPE html>

<html lang="en">

<head>

   <meta charset="utf-8"/>

   <script src="flashhttprequest.js"></script>

   <script>

        var res="";

          function setres(data){ //将返回结果打印至页面中

                 window.res=data;

                 //console.log(data);

                 document.write(data);

          }

        function onhook() {

                FlashHTTPRequest.open('GET', 'http://www.xxx.com/user-setting', '', 'setres' );

        }

   </script>

</head>

<body>

   <div id="flashBridge"></div>

</body>

</html>

登录该网站后,访问构造好的HTML页面:http://127.0.0.1/crossdomain/index.html,页面内容是该网站的账号设置页面,如下图所示:

由此也可以构造CSRF攻击……

风险分析:攻击者通过如下攻击过程可获取用户敏感信息:

  1. 攻击者构造一个恶意的flash文件 ,在attacker.com中嵌入该flash文件
  2. 受害者已登录victim.com
  3. 受害者浏览含有恶意flash文件的页面
  4. flash文件以受害者的session向victim.com发出任意请求,并接收返回数据
  5. 攻击者保存受害者的信息

风险等级:

中危:可获取数据

低危:allow-access-from属性为*

低危:allow-http-request-headers-from属性为*

低危:site-control标签的permitted-cross-domain-policies属性为 all

修复方案:限制跨域请求来源,即设置allow-access-from的值,只允许可信域的flash跨域请求。

注意事项:暂无

jsonp跨域请求

漏洞描述:当某网站通过 JSONP 的方式来传递用户认证后的敏感信息时,攻击者通过构造恶意的 JSONP 调用页面,诱导被攻击者访问来达到截取用户敏感信息的目的。

测试方法:一个典型的 JSON劫持攻击代码:

<script>
function test(v){
    alert(v.username);
}
</script>
<script src="http://www.xxx.com/?o=sso&m=info&func=test"></script>

当被攻击者在登录www.xxx.com网站的情况下访问了该网页时,那么用户的隐私数据(如用户名,邮箱等)可能被攻击者劫持。

风险分析:攻击者可利用该漏洞结合社会工程学,诱导用户点击某个精心构造的页面,从而达到窃取用户敏感信息的目的。

风险等级:

高危:可获取敏感数据

中危:可获取普通数据

修复方案:建议从以下几个方面进行防御:

  1. 严格安全的实现CSRF方式调用JSON文件:限制Referer、部署一次性Token等。
  2. 严格安装JSON格式标准输出Content-Type及编码(Content-Type : application/json; charset=utf-8)。
  3. 严格过滤callback函数名及JSON里数据的输出。
  4. 严格限制对JSONP输出callback函数名的长度。
  5. 在callback输出之前加入其他字符(如:/**/、回车换行)这样既不影响JSON文件加载,又能一定程度预防其他文件格式的输出。

注意事项:暂无

未授权访问

漏洞描述:未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址,或者不允许查看的链接便可进行访问,同时进行操作。

测试方法:

  • 通过对登录后的页面进行抓包,将抓取到的功能链接,在其他浏览器进行打开。
  • 也可以通过web扫描工具进行扫描,爬虫得到相关地址链接,进行直接访问,如果未进行跳转到登录页面,则可判断为存在未授权访问漏洞。

风险分析:攻击者猜测管理后台地址或利用已知的访问地址,尝试在未登录的情况下直接访问,常见的后台登录地址有:admin.jsp、index.jsp、main.jsp、left.jsp、right.jsp、top.jsp等。攻击者进入管理后台后可修改Web应用程序设置,利用后台对上传文件过滤不严的缺陷,上传webshell等实施恶意操作。

风险等级:

高危:认证模式可绕过,不登录即可通过 URL 或其他方式访问登录后页面

修复方案:常见的修复方法:在系统中,加入用户身份认证机制或者tonken验证,防止可被直接通过连接就可访问到用户的功能进行操作,简而言之,一定对系统重要功能点增加权限控制,对用户操作进行合法性验证,下列为针对常见的JSP语言编写的网站的安全修复方案:

    1、采用JAVA过滤器技术,对/pages下所有URL进行登录状态检查,通过session.getAttribute()方法从session中获取登录成功时存入session中的身份标识,判断客户端传递过来的身份标识是否与session中保存的一致,不一致则跳转到登录页面。关键代码如下:

//从session里取的用户名信息

String username = (String) session.getAttribute("userID");

//getAttribute中变量根据实际变量传入。

//判断如果没有取到用户信息,就跳转到登录页面

if ((username == null) || "".equals(username)) {

//跳转到登录页面

res.sendRedirect("http://" + req.getHeader("Host") +"/login_oa.jsp");}

else {

//已经登录,继续此次请求

chain.doFilter(req, res); }}

    2、进行权限判断,以下代码为过滤器程序,通过会话获取用户身份信息,进行权限判断等操作:

//在配置文件中设置过滤器

<filter>

<filter-name>SessionFilter</filter-name>

<filter-class>com.nsfocus.frame.filter.SessionFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>SessionFilter</filter-name>

<url-pattern>/pages/*</url-pattern>

</filter-mapping>

<filter>
//后台过滤程序

public void doFilter(ServletRequest request,

ServletResponse response,FilterChain chain) throws

IOException, ServletException {

HttpServletRequest req = (HttpServletRequest) request;

HttpServletResponse res = (HttpServletResponse) response;

HttpSession session = req.getSession(true);

//从session里取的用户名信息

String username = (String) session.getAttribute("userID");

//getAttribute中变量根据实际变量传入。

//判断如果没有取到用户信息,就跳转到登录页面

if ((username == null) || "".equals(username)) {

//跳转到登录页面

res.sendRedirect("http://" + req.getHeader("Host") +"/login_oa.jsp");}

else {

//已经登录,继续此次请求

chain.doFilter(req, res);      }   }

public void destroy() {   }

}

注意事项:暂无

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/716555.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

全域推广和标准推广可以一起做吗?可行性分析结果如何?

作为全域时代的新赛道&#xff0c;全域推广从出现之日起便备受关注&#xff0c;许多创业者经常将其与标准推广进行对比或捆绑&#xff0c;类似于全域推广和标准推广的区别、全域推广和标准推广哪个好以及全域推广和标准推广可以一起做吗等问题也因此长期霸占该赛道相关话题榜单…

405 Method Not Allowed

因为路径或方法匹配错误&#xff0c;报错405 改为GetMapping

空间双重差分模型案例

一、案例简介 使用空间双重差分模型研究中国“一带一路”政策对经济发展的影响效应。 二、变量选择 选取全国30个省(西藏缺失)2007-2017年面板数据,其中18个省为一带一路沿线省份(新疆、重庆、陕西、甘肃、宁夏、青海、内蒙古、黑龙江、吉林、辽宁、广西、云南、上海、福…

酷开系统带你观看《庆余年》第二季,探索大庆权谋与主角成长

酷开系统为广大剧迷带来了激动人心的消息——时隔五年&#xff0c;《庆余年第二季》强势归来&#xff0c;原班人马将再次集结&#xff0c;带领观众进入更加变幻莫测的权谋世界。 第一季结束时&#xff0c;范闲被刺的悬念让无数剧迷悬悬而望&#xff0c;而第二季的开播无疑将解…

Matlab r2023a v23.2.0 解锁版安装步骤 (工程计算商业数学软件)

前言 Matlab&#xff08;矩阵实验室&#xff09;是全球领先的数学计算软件开发商美国 MathWorks 公司研发的一款面向科学与工程计算的高级语言的商业数学软件&#xff0c;集算法开发、数据分析、可视化和数值计算于一体的编程环境&#xff0c;其核心是仿真交互式矩阵计算&…

在大模型应用中,如何提升RAG(检索增强生成)的能力?

01、什么是RAG&#xff1f; RAG简单来说就是给予LLM的一些增强。 • 引入新的信息&#xff0c;这些信息可能不在LLM中。 • 使用RAG控制内容来减少幻觉&#xff08;模型生成与现实不符的输出&#xff09;&#xff0c;这是RAG的一个常见用途。通常的用例是提供内容给模型&…

11.无代码爬虫八爪鱼采集器抓取网站信息的实操案例——选择目标网站、提取标题、发布时间、评论内容、作者昵称、点赞数量等字段

首先&#xff0c;多数情况下免费版本的功能&#xff0c;已经可以满足绝大多数采集需求&#xff0c;想了解八爪鱼采集器版本区别的详情&#xff0c;请访问这篇帖子&#xff1a; https://blog.csdn.net/cctv1123/article/details/139581468 八爪鱼采集器免费版和个人版、团队版下…

应变玻璃合金是航天产业重要弹性材料 研究开发意义重大

应变玻璃合金是航天产业重要弹性材料 研究开发意义重大 应变玻璃&#xff0c;是一种形状记忆合金&#xff0c;为纳米级材料&#xff0c;其短程有序晶格应变区域呈冻结状态&#xff0c;具有典型的玻璃化转变特征&#xff0c;可以对外界刺激产生应变反应&#xff0c;也称为应变玻…

有没有硅基生命?AGI在哪里?

摘要 随着科技的飞速发展&#xff0c;人工智能&#xff08;AI&#xff09;和生命科学的探索逐渐成为人们关注的焦点。其中&#xff0c;关于硅基生命的可能性与AGI&#xff08;Artificial General Intelligence&#xff0c;即人工通用智能&#xff09;的实现&#xff0c;更是引…

C++ -- 红黑树的基本操作

目录 摘要 基本规则 基本操作 利用Graphviz 库 总结 摘要 红黑树是一种自平衡的二叉搜索树&#xff0c;它在插入和删除节点时&#xff0c;通过颜色和旋转操作保持树的平衡&#xff0c;确保插入、删除和查找的时间复杂度都是 (O(log n))。红黑树的每个节点都有一个颜色属性…

umijs脚手架

node 16.9.1 注意node版本的问题 node 18.20.0 这个问题其实是node与中端连接出错&#xff0c;无法初始化TTY&#xff08;终端设备&#xff09;&#xff0c;可以用cmd命令行来创建umi项目 nvm管理node https://github.com/coreybutler/nvm-windows/releases 这是nvm-window…

【CRASH】freelist异常导致的异常地址访问

freelist异常导致的异常地址访问 问题现象初步分析继续深入新的发现沙盘推演寻找元凶分析代码后记 问题现象 项目一台设备几天内出现了两次crash&#xff0c;都是异常地址访问导致。 [66005.261660] BUG: unable to handle page fault for address: ffffff8881575110初步分析…

哪个品牌台灯护眼效果好?几款护眼效果好的专业护眼灯品牌推荐

随着科技的不断发展和生活方式的改变&#xff0c;儿童青少年近视率的增长趋势引起了人们的关注。近视不仅对孩子们的视力健康构成威胁&#xff0c;还可能对他们的学习和日常生活带来不便。因此&#xff0c;如何有效地预防和改善儿童青少年的视力问题成为了一个亟待解决的课题。…

MES里面有质量模块,为什么还要实施质量管理软件(QMS)

为什么一些知名头部的大厂&#xff0c;已经有了MES , 却还都去实施了质量管理软件&#xff08;QMS&#xff09;? 答&#xff1a;是这些MES里面的质量模块不能满足客户的需求。 那么来看看&#xff0c;从质量管理的角度来看&#xff0c;QMS软件系统是什么样子的&#xff1f; …

《现代通信原理与技术》码间串扰和​​​​​​​无码间串扰的眼图对比实验报告

实 验&#xff1a;码间串扰和无码间串扰的眼图对比实验报告 摘 要&#xff1a; 在数字通信系统中&#xff0c;码间串扰&#xff08;Inter-Symbol Interference, ISI&#xff09;是影响信号质量和系统性能的重要因素之一。本实验通过MATLAB软件生成并对比了受码间串扰影响和未…

MBTI:探索你的性格类型

人不走空 &#x1f308;个人主页&#xff1a;人不走空 &#x1f496;系列专栏&#xff1a;算法专题 ⏰诗词歌赋&#xff1a;斯是陋室&#xff0c;惟吾德馨 目录 &#x1f308;个人主页&#xff1a;人不走空 &#x1f496;系列专栏&#xff1a;算法专题 ⏰诗词歌…

VL53L4CD TOF开发(3)----检测阈值

VL53L4CD TOF开发.3--检测阈值 概述视频教学样品申请完整代码下载实现demo硬件准备技术规格系统框图应用示意图生成STM32CUBEMX选择MCU串口配置IIC配置 XSHUTGPIO1X-CUBE-TOF1app_tof.c详细解释主程序演示结果 概述 最近在弄ST和瑞萨RA的课程&#xff0c;需要样片的可以加群申…

RabbitMQ安装配置,封装工具类,发送消息及监听

1. Get-Started docker安装rabbitmq 拉取镜像 [rootheima ~]# docker pull rabbitmq:3.8-management 3.8-management: Pulling from library/rabbitmq 7b1a6ab2e44d: Pull complete 37f453d83d8f: Pull complete e64e769bc4fd: Pull complete c288a913222f: Pull complet…

第104天: 权限提升-Linux 系统环境变量定时任务权限配置不当MDUT 自动化

目录 案例一&#xff1a;Linux-环境变量文件配合 SUID-本地 案例二&#xff1a;Linux-定时任务打包配合 SUID-本地 案例三&#xff1a;Linux-定时任务文件权限配置不当-WEB&本地 案例四&#xff1a;Linux-第三方软件 MYSQL 数据库提权-WEB&本地 隧道出网 手工提权…

解决外网404:清除DNS缓存并配置host主机使用知名公共DNS服务

在 Windows 上清除/刷新 DNS 缓存 对于所有Windows版本&#xff0c;清除DNS缓存的过程都是相同的。你需要使用管理员权限打开命令提示符并运行ipconfig /flushdns。 浏览器清除DNS缓存 大多数现代的Web浏览器都有一个内置的DNS客户端&#xff0c;以防止每次访问该网站时…