Webgoat--访问控制缺陷

最新推荐文章于 2026-04-21 02:40:10 发布
原创 最新推荐文章于 2026-04-21 02:40:10 发布 · 1.1k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文深入探讨了Web应用中的两种常见访问控制缺陷:不安全的直接对象引用(IDOR)和缺失功能级访问控制。IDOR允许攻击者通过修改参数访问其他用户资源,而垂直权限提权则可能导致低权限用户执行高权限操作。文章详细介绍了这两种漏洞的利用方法,并提出了包括访问检查、使用间接对象引用和用户权限验证在内的多种防御措施。

不安全的直接对象引用 (IDOR水平权限越权)

  • 定义

不安全的直接对象引用(IDOR)允许攻击者绕过网站的身份验证机制,并通过修改指向对象链接中的参数值来直接访问目标对象资源,这类资源可以是属于其他用户的数据库条目以及服务器系统中的隐私文件等等。
应用程序在SQL查询语句中直接使用了未经测试的数据,而攻击者可以利用这一点来访问数据库中的其他账号数据。

  • 出现原因
    Web应用往往在生成Web页面时会用它的真实名字,且并不会对所有的目标对象访问时来检查用户权限,所以这就造成了不安全的对象直接引用的漏洞。
    服务器上的具体文件名、路径或数据库关键字等内部资源被暴露在URL或网页中,攻击者可以尝试直接访问其他资源。

缺失功能级访问控制(垂直权限 提权)

在应用程序中,常常会将用户分为不同的用户角色,不同的角色可以进行不同权限的操作。当在逻辑代码中未妥善处理,可能导致低权限的角色用户可以调用高权限角色用户的接口,导致用户提权

利用方法

修改提交的参数
暴力破解猜测同级的用户
使用PUT提交修改个人信息

防御方法

1.访问检查:对任何来自不受信源所使用的所有对象进行访问控制检查
2.使用基于用户或会话的间接对象访问,这样可防止攻击者直接攻击未授权资源
3.避免在url或网页中直接引用内部文件名或数据库关键字
4.验证用户输入和url请求,拒绝包含./ …/的请求
5.在应用程序业务层添加用户水平权限验证,防止角色平级用户之间数据越权访问
6.在应用程序业务层添加用户垂直权限验证,防止提权
7.针对当前用户信息修改,可使用已经经过验证并存储在sesson中的用户信息,避免从客户端进行获取
8.对于高权限可以修改低权限情况,添加权限验证
9.针对用户操作记录审计日志,操作对象,操作人,操作时间,操作IP地址,操作前后变化

0x13

点击View profie,抓包重重放在这里插入图片描述
获得 role,userId

0x14

在这里插入图片描述

0x15

  • 爆破
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  • 02 构造数据包

使用PUT 方式提交更改的信息

PUT /WebGoat/IDOR/profile/2342388 HTTP/1.1
Host: 192.168.80.2:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://192.168.80.2:8080/WebGoat/start.mvc
Content-Type: application/json
X-Requested-With: application/json
Connection: close
Cookie: JSESSIONID=eU5_lnpkJPYm5b8TPDxefKZS2MxfK0xlAi2MSl1Z
Content-Length: 86

{"role":"1", "color":"red", "size":"large", "name":"Buffalo Bill", "userId":"2342388"}

在这里插入图片描述

0x22

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

0x23

在这里插入图片描述

WebGoat笔记三_访问控制缺陷(AccessControlFlaws).pdf
10-05
WebGoat笔记三_访问控制缺陷(AccessControlFlaws).pdf
OWASP WebGoat---安全测试学习笔记(二)---访问控制缺陷
某技术爱好者的专栏
04-13 5804
访问控制缺陷(Access Control Flaws)
访问控制失效:安全漏洞解析(WebGoat Broken Access Control讲解)
qq_69130727的博客
08-28 2000
对于访问控制失效,其防御的核心思想始终如一:在服务器端对每一个请求实施强制性的、基于角色和上下文的权限检查,绝不信任客户端传来的任何信息(如URL参数、隐藏字段、HTTP头)来判断用户的权限。
告别枯燥理论!用Docker+WebGoat 8.0在Kali上搭建你的第一个Web安全实战靶场
最新发布
weixin_33692284的博客
04-21 443
本文详细介绍了如何在Kali Linux系统上使用Docker快速部署WebGoat 8.0,搭建Web安全实战靶场。通过简洁的步骤和实用技巧,帮助安全爱好者避开传统安装的依赖冲突,快速上手实战演练,提升Web应用安全技能。
访问控制缺陷WebGoat练习 - 2016.01.06
baishileily的博客
01-06 1385
访问控制的方案很很多种,有基于角色的也有基于路径的。他们的基本原则都是根据用户的不同身份为用户划分等,同样对可用资源也划分等,进而根据用户的等限制用户的对资源的访问。而现实网络中的访问控制却往往存在各种各样的控制缺陷。例如,我们将在下面提到的绕开基于角色的访问控制,进而获取我们想要查看的信息;绕开基于路径的访问控制,进而访问我们不能访问的资源。         为什么会存在这样的问题,又怎
项目笔记:Webgoat靶场通关教程之Broken Access Control
basicsffds的博客
11-16 927
前俩控件书信都是dropdown,最后一个前面加了个hidden-menu-item ,抱着试一试的心态把他删了然后再看看页面变化,发现多了个admin里面有userss属性和config属性,填上去就行。我们对其结果进行尝试其他解码,发现是base64-16进制-文本,这样发现前面字符都一样,后面为账户名字倒写。会发现圈起来的那俩字段没有,在下面提交就行,记得只提交标签,中间用英文逗号隔开(我一直提交不成功,吐了)现在的问题是,虽然我们成功越权创建了一个jack001的管理员用户,但是并没法登录啊。
WebGoat-5.4实验笔记(3)
Jo_kong的博客
10-11 2487
访问控制缺陷(Access Control Flaws) 1、使用访问控制模型(Using an Access Control Matrix) 技术概念: 在一个基于角色的访问控制方案中,角色代表了一组访问权限和特权。一个用户可以被分配一个或多个角色。一个基于角色的访问控制方案通常有两个部分组成:角色权限管理和角色分配。一个被破坏的基于角色的访问控制方案可能允许用户执行不允许他/她的被分配的角色,...
webgoat-Broken Access ControlI 访问控制失效
seanyang_的博客
11-06 1857
直接对象引用直接对象引用是指应用程序使用客户端提供的输入来访问数据和对象。例子使用 GET 方法的直接对象引用示例可能如下所示id=12345img=12345其他方法POST、PUT、DELETE 或其他方法也可能容易受到影响,主要仅在方法和潜在有效载荷上有所不同。不安全的直接对象引用当引用未得到正确处理时,这些被认为是不安全的,并允许授权绕过或披露可用于 执行用户不应能够执行或访问的操作或访问数据。
WebGoat学习——访问控制缺陷( Access Control Flaws)
weixin_33908217的博客
04-11 615
  在一个基于角色的访问控制方案中,角色代表了一组访问权限和特权。一个用户可以被分配一个或多个角色。一个基于角色的访问控制方案通常有两个部分组成:角色权限管理和角色分配。一个被破坏的基于角色的访问控制方案可能允许用户执行不允许他/她的被分配的角色,或以某种方式允许特权升到未经授权的角色的访问。 1.绕过基于路径的访问控制方案   在一个基于路径的访问控制方案中,攻击者可以通过提供相对路径信...
WebGoat系列のAccess Control Flaws(访问控制缺陷)
weixin_33969116的博客
02-26 255
Using an Access Control Matrix 用户权限:     Moe--> public share     Larry-->Time Card Entry,Performance Review,Time Card Approval,Account Manager     Curly--> public share,Performance Revie...
Web渗透之身份认证与访问控制缺陷(越权(水平垂直),访问控制(没有验证),脆弱验证(Cookie,JWT,Session等))
Strategic__的博客
10-14 503
将user_id=100改为用户B的user_id=101、order_id=200改为用户B的order_id=201,重放请求;搜索user_id、order_id、select*fromuser、select*fromorder,查看资源查询代码是否使用用户可控参数(如$_GET['user_id'])作为查询条件,且未与当前登录用户ID($_SESSION['user_id'])对比(如漏洞代码:$sql="SELECT*FROMuserWHEREid={$_GET['user_id']}")。
对于第三方应用程序的访问控制不足
ZOMO的博客
01-10 1174
随着互联网的普及和企业信息化的发展,越来越多的企业和组织开始依赖第三方的应用和服务来满足业务需求和提高工作效率。然而这些外部资源可能带来一定的安全风险:恶意软件、漏洞利用等。因此,企业需要实施有效的防火牆策略和管理措施以保障网络安全和业务稳定运行。本文将针对这一问题进行分析并提出相应的解决方法和建议。
记一次IDOR 和访问控制缺失漏洞挖掘
2401_89294392的博客
01-23 970
我尝试通过更改帖子 ID 来修改请求,试图将其他用户的报告发送到我的邮箱。起初,我并没有计划测试这个导出功能,但出于好奇,我点击了下载 PDF 的按钮。3、我会为每个测试的应用程序创建一个 Obsidian 文件,在其中存储重要信息,比如两个测试账户的 ID,以及应用使用的任何。通过这样做,我可以未经授权访问其他用户的 PDF 报告,暴露了他们的私人帖子信息,我能够看到应用程序中的所有帖子。简而言之,该应用未能实施适当的安全机制来防止未经授权的访问,使这两个漏洞都变得非常危险。(而不是我所有的帖子)。
webGoat】Broken Access Control
10-02 1729
访问控制中断】
WebGoat攻略 for Mac(5)
qq_42955000的博客
04-19 1050
WebGoat攻略 for Mac(5)一、题目攻略A5.Broken Access Control(破损的出入控制)1.Insecure Direct Object References(不安全的直接对象引用)2.Missing Function Level Access Control(控制访问控制缺失)A7.Cross-Site Scripting (XSS)(跨站脚本)1.Cross Site Scripting(跨站点脚本)A8.Insecure Deserialization(不安全的反序列化
WebGoat (A5) Broken Access Control -- Missing Function Level Access Control (缺少功能访问控制)
箭雨镜屋
03-17 2752
目录 一、一起来玩躲猫猫ヾ(•ω•`)o 第2页 第3页 1、简单思路 2、复杂思路 二、简陋的脑图 一、一起来玩躲猫猫ヾ(•ω•`)o 第2页 要求找到两个藏起来的菜单项 、 我用的是chrome浏览器,鼠标放到菜单上,比如Account那一条那儿,右键--检查,就会弹出开发者工具,附近的元素展开来找一找,发现了一个隐藏的Admin大选项下面有两个带url的隐藏的小选项:Users和Config。 把Users和Config分别填到两个输入框中并提交,即可通关。 第3页 这
记一次webgoat靶场练习
longwanlian的博客
06-05 588
webgoat
WebGoat通关教程
热门推荐
玄道的网安博客
05-05 1万+
这里我们用docker镜像一键搭建即可 用docker命令开启webgoat docker run -d -p 8081:8080 -p 9090:9090 -e TZ=Europe/Amsterdam webgoat/goatandwolf 打开192.168.109.131:8081/WebGoat和192.168.109.131:9090/WebWolf能打开即可 192.168...
webGoat目录访问控制路径
m0_61506558的博客
09-28 644
我们要想成功得到webshell,需要改变文件的传输路径,本次使用webGoat进行简单练习,掌握几种简单的绕过方式。
WebGoat (A5) Broken Access Control -- Insecure Direct Object References (不安全的直接对象引用)
箭雨镜屋
03-16 2911
第2页 这一页只需要以用户名tom,密码cat登录,以便后续操作。 第3页 这题要求找出response报文中未显示在网页上的属性。 只要按下View Profile之后对比网页显示的内容和burpsuite抓到的response报文就行 第4页 这一页要求用直接对象引用的方式来查看自己的profile。 从上一轮的burpsuite抓包可知,profile的路径是/WebGoat/IDOR/profile,而userId为2342384 试了WebGoat/IDOR/profi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值