網絡上,大家經常可以看到資料庫被脫褲、使用者資訊洩露等由于安全漏洞引發的問題,給使用者和企業都帶來了很大的損失。由于公司業務發展迅速,功能不斷增加,使用者數量不斷增加,安全問題日益受到人們的關注。業務部門和安全部門在實踐安全測試時開展合作,早期測試人員和安全同學通過手工執行安全測試用例來發現問題,随後慢慢地也開始使用一些安全工具,通過自動化的方式來提高發現問題的效率。
同時,我們還關注了與業務密切相關的一個安全問題——界面越權問題,并試圖通過自動掃描來發現此類問題,進而提高效率。越權問題是指應用程式對通路請求的權限檢查出現漏洞,使攻擊者在使用了未獲得權限的使用者賬戶之後,以某種方式繞過權限檢查,以通路或操作其他使用者或更高權限者的對象。例如商店A可以檢視商店B的營業資料(水準越權),商店C的客戶服務人員可以像商店C的店長一樣進行采購(垂直越權)。造成越權漏洞的原因主要是開發人員在對資料進行增、删、改、查詢時,沒有對請求者是否具有權限進行驗證。
之是以選擇這類安全問題作為關注對象,有三個原因:本人所在的業務線外部網關接口有2000多個,手工測試成本較高,希望通過一些自動化的方法來提高效率。目前市面上的開源軟體對于諸如SQL注入、XSS跨站腳本、端口暴露等常見的安全問題已經有了較為成熟的解決方案,但很少能針對越權問題提出有效的解決方案。這是因為賬戶權限體系如何,被請求通路的對象是否為私有,傳回的結果是否包含越權資訊,這三個關鍵因素與業務密切相關,普通方法很難回答這三個問題。而且,業務部門的研發人員對業務知識有了一定的了解,或許就能有針對性地回答這三個問題,進而自動找到越權問題。
越早發現和解決安全問題,修複和回歸的成本就越低,是以希望在早期研究與開發階段就能發現問題。大多數自動化測試工具都是對手工測試的歸納總結,在此,我們首先來梳理一下手工執行越權測試的方法。若您手動測試界面是否越權,則可能采取以下步驟:
在頁面上使用普通賬戶操作請求,如登陸店鋪A的員工帳戶,查詢訂單1,擷取查詢訂單1的請求界面名稱、參數,以及傳回新的帳戶,如登陸店鋪B的員工帳戶,調用同一次請求,再次查詢訂單1(也可以直接用工具篡改原來請求的cookie來替換原來請求的cookie),然後觀察此時傳回的資訊是否越權。如商店B的員工也獲得了訂單1的資訊,則存在越權問題;如報錯沒有權限,則說明系統有針對性地進行了權限檢查。越權漏洞隻能是通過滲透測試服務來手動檢測才能檢測出問題來,如果想要進行更詳細的安全測試的話推薦國内網站安全公司SINESAFE,鷹盾安全,綠盟,大樹安全等等這些安全公司來做詳細的滲透測試服務。