逻辑漏洞概述
访问:
主体与客体之间的信息流动。主动的是主体,被动的是客体。
主体访问客体的四个步骤:
身份标识->身份验证(数据库匹配信息,判断身份是否合法)->授权(判断身份是谁,管理员或正常账户)->审计(记录操作)
访问控制模型:
自主访问控住(DAC 大部分使用):由客体的属主自主对客体进行管理,自主决定是否将访问权限授予其他主体。
强制访问控制(MAC 军方或重要*部门用):安全策略高于一切,由管理员配置,访问控制由系统实施。
角色型访问控制(RBAC):使用集中管理的控制方式来决定主体和客体如何交互,更多用于企业中,根据不同的职位来分配不同的权限。
逻辑漏洞:
代码之后是人的逻辑,人更容易犯错,所以逻辑漏洞一直都在,而且由于逻辑漏洞产生的流量多数为合法流量,一般的防护手段或设备无法阻止,也导致了逻辑漏洞成为了企业防护中的难题。
逻辑漏洞分类:
- 验证机制缺陷
- 会话管理缺陷
- 权限管理缺陷
- 业务逻辑缺陷
- 登录缺陷
- 支付逻辑缺陷
- API乱用
验证机制
身份标识:whoknows、who has、who is
最常见的方式是信息系统要求用户提交用户名与密码。
权限控制:
从控制力度看,可以将权限管理分为两大类:
- 功能级权限管理
- 数据级权限管理
从控制方向看,也可以将权限管理分为两大类: - 从系统获取数据比如查询
- 向系统提交数据比如删除修改
业务逻辑:
每个业务系统都具有不用的业务逻辑,而业务逻辑在人,充分了解程序员思维有助于找到其中的问题所在。
暴力**
可利用多余的提示信息(登录失败存在的一些特殊提示信息)和可预测信息(类似user100、user101的用户名、手机号等信息或者初始密码)
弱口令攻击
无效的防重放措施:
比如防止CSRF的token。可以利用Burp Suit Macros(宏)绕过。
无效的登录失败功能处理:
- 图片验证码绕过:验证码不生效、不更新、不失效,验证码可预测、删除、获取,验证码可识别,寻找其他登录页面。
- 短信验证码绕过:4/6位暴力**,篡改手机号,篡改response。
会话管理问题
令牌(或是Request)具有含义的数据,如:
用户名称:user、admin、system
用户标识:0001、0002、0003
用户权限:admin、00101、01000