科普越权漏洞是什么?
越权漏洞是Web应用程序中一种常见的安全漏洞。由于WEB应用的权限控制功能设计存在缺陷,攻击者通过这些缺陷来访问未经授权的功能或数据,这就是越权漏洞。攻击者越权后可以进行查看敏感信息、进行一些增删改查等操作。
越权漏洞又分为水平越权,垂直越权。
水平越权指的是攻击者尝试访问与他拥有相同权限的用户的资源。比如某系统中同是普通用户的A和B都有个人资料这个功能,A用户通过攻击手段访问了B用户的个人资料,这就是水平越权漏洞。
垂直越权指的是一个低级别攻击者尝试访问高级别用户的资源。比如说某个系统分为普通用户和管理员,只有管理员有系统管理功能,普通用户利用某种攻击手段访问到管理功能,这就是垂直越权漏洞。
攻击者利用越权漏洞可以查看任意的登录密码、手机号、身份证等敏感信息,导致信息泄露发生,危害较大。 越权漏洞修复方案
1、采用成熟的权限管理框架,如spring security,完善用户权限体系;
2、用户进行访问操作的用户ID、产品号码、订单流水号等凭证,采用在服务端关联session或加密后放在session中的方式获取;
3、对存在权限验证的页面加载前进行权限认证;
4、对于可控参数进行严格的检查与过滤!