2 yy228313 yy228313 于 2016.01.21 03:56 提问

系统存在平行越权问题如何解决。 5C

会员系统数据都是访问局域网中的另一个接口项目获取的。由于接口项目没有做任何认证,只要会员系统的请求格式正确,接口项目都可以返回数据,导致系统存在平行越权问题,请问现在应该任何解决

2个回答

caozhy
caozhy   Ds   Rxr 2016.01.21 04:48

你的那个接口的代码能不能动,可以的话,写一个httphandler做一个前置验证。
http://www.cnblogs.com/stwyhm/archive/2006/08/09/471765.html

yy228313
yy228313 接口项目的handler怎样写才可以避免平行越权
2 年多之前 回复
qq_16414307
qq_16414307   2016.01.21 14:38

你首先要明白漏洞的原因

一个表里有很多记录,字段id记录id,uid用户,text内容
你只查出uid=自己的id,显示给用户,虽然看起来,用户无法知道其它人记录的id,但修改得时候,如果不再做权限检查,那么就会存在漏洞

你必须在执行操作时,执行检查
比如一个功能 根据id修改记录,规则是只能修改自己的,那么你修改的时候,就要首先将id对应记录读出,检查该记录所有者uid是否就是当前登陆用户
如果不是就提示错误.

如果增加一个 后台管理修改,可以修改任何人的记录,
那么这就是一个新功能, 修改时,首先要检查当前登陆用户是否是后台管理员,如果是才允许修改.

所以权限控制都是和业务相关的,不存在通用的方法

Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!
其他相关推荐
平行越权
系统描述:在如下图的会员系统中,门户项目是使用纯html做页面的。 数据交互:html使用Ajax请求门户项目的一般处理程序--》门户项目请求接口项目的一般处理程序。 导致问题:门户项目即使做了登录验证,也存在平行越权的问题。 解决方法: 个人信息的查询--接口项目在返回的JSON中添加会员卡号,该会员卡号需要和Session中的会员卡号对比,一致才返回给页面。 提交--浏览器提交的
越权问题解决优化方案
这是本人平时积累,拿去用: 问题背景:越权漏洞是Web 应用常见的安全漏洞。其主要来源于开发者在对数据进行增删改查的时候,过分相信用户传递的数据,从而遗漏了用户权限的判定导致的,这种问题应该止于测试人员。当单独调用某接口时并没有完成相应权限的校验,造成越权操作现象。问题应用相关实例场景:一:用户A可以在B网站增加、删除、修改、查看用户C的相关信息。二:后端的不同接口内部之间为了解耦没有进行权限验证三
项目中遇到的水平越权漏洞及修复方法
项目基于thinkphp5框架,虽然说框架底层为开发者提供了基本的参数过滤和参数绑定等安全防护。能在很大程度上防范XSS攻击和SQL注入,但在在开发中也应该注意避免产生业务逻辑漏洞和做好用户权限认证。今天在项目中发现了一个安全漏洞:A用户可以修改甚至删除B用户的收货地址。这个漏洞出现的原因是开发者没有对请求进行严格的权限认证,本文主要叙述发现漏洞的过程及修复的方法。 一. 此段代码的逻辑是当收到ge
浅谈web项目越权风险问题
web越权访问   越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。   越权访问漏洞的产生  比如,某个订单系统,用户可以查询自己的订单信息。A用户查询订单时,发送的HTTP请求中包含参数“orderid=A”,订单系统取得orderid后最终会查询数据库,
详解Javaweb中常见漏洞的防御二
0x01 Token的使用 可以有效防止csrf漏洞和http请求批量提交。 esapi中token的使用过程 a.在用户刚登录的时候,产生一个新的不可预知的CSRF Token,并且把此Token存放在用户的session中。 b.在任何一个需要保护的表单中,增加一个隐藏的字段来存放这个Token;对于需要保护的URL,增加一个参数来存放此Token。 c.提交此请求的时候,在
水平权限漏洞以及解决方法
水平权限漏洞的修复方案 水平权限漏洞一般出现在一个用户对象关联多个其他对象(订单、地址等)、并且要实现对关联对象的CRUD的时候。开发容易习惯性的在生成CRUD表单(或AJAX请求)的时候根据认证过的用户身份来找出其有权限的被操作对象id,提供入口,然后让用户提交请求,并根据这个id来操作相关对象。在处理CRUD请求时,往往默认只有有权限的用户才能得到入口,进而才能操作相关对象,因此就不
网站漏洞——越权大法,纯文字,不喜勿看
问:什么叫越权? 答:A用户操作B用户的数据就叫做越权 一般情况下:开发会将用户的标识存在session或者Cookies中,这样会避免越权的发生。 二般情况下:复杂逻辑可能会用到标识的传递,比如投票、留言、回复、编辑等。 在一般思维里,大家能立刻想到,使用两个浏览器,分别登录A、B帐号,进行越权测试,但是结果往往不尽人意,因为要看的数据太多了 所以,提供一份简单
开发安全培训(越权,逻辑漏洞).pdf
开发安全培训(越权,逻辑漏洞)分享,教你如何解决越权,逻辑漏洞等问题。
浅谈安全漏洞--之越权
做为一个零基础安全知识的我,理解上有不对的地方,请大家指正!谢谢!    对房屋来说,使用房屋有哪些人呢?主人和访客还有不速之客。通过使用钥匙开了房屋门,我们在房屋里可以做什么呢?对于房屋的主人,我可以使用房屋内所有的东西,进出任何一个房间;对于一个访客来说,只能在房屋的公共场地使用,而房屋里某些的使用需要主人的授权才可以使用,比如进入主人的书房或者卧室。除此之外,也会有不速之客来这房屋翻箱倒柜
越权漏洞详述
更多关于代码审计、WEB渗透、网络安全的运维的知识,请关注微信公众号:发哥微课堂。0x00:何为越权在我看来,越权漏洞的成因主要是因为开发过程中在对数据进行增、删、改、查时对客户端请求的数据没有进行严格的权限判定,导致单个用户可以操作其他用户的一些操作,叫做越权。0x01:越权分类越权分为两种:一种为水平越权,一种为垂直越权。0x02:漏洞举例水平越权:指攻击者尝试访问与他拥有相同权限的用户资源。...