前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >WEB安全新玩法 [5] 防范水平越权之查看他人订单信息

WEB安全新玩法 [5] 防范水平越权之查看他人订单信息

原创
作者头像
天存信息
修改2021-06-29 14:44:47
1.1K0
修改2021-06-29 14:44:47
举报
文章被收录于专栏:天存信息的专栏

水平越权是指系统中的用户在未经授权的情况下,查看到另一个同级别用户所拥有的资源。水平越权会导致信息泄露,其产生原因是软件业务设计或编码上的缺陷。iFlow 业务安全加固平台可以缓解部分场景下的水平越权问题。


以某电商网站为例,其查看订单功能存在漏洞:仅依靠修改 URL 参数,任意登录用户不仅可以查看自己的订单信息,也可以查看到其他用户的订单信息。我们看看在网站自身存在缺陷的情况下,如何利用 iFlow 阻止水平越权的订单信息访问。

一、原始网站

1.1 正常用户访问

正常用户登录成功之后,进入个人中心的订单管理页面显示自己的订单列表。

图1
图1

从订单列表中点击其中一个订单的订单详情,则可以看到订单的具体信息。

图2
图2

HTTP 交互流程如下:

表1
表1

1.2 攻击者访问

电商网站在处理订单详情业务时有个漏洞:它使用提交参数中的订单 ID 在数据库中获取到了订单信息,但没有去检查订单所有者是否与已登录用户为同一用户,而是直接将订单信息返回给了浏览器。

这样,攻击者与正常用户经过同样的操作 (即在订单列表查看自己的订单详情) 后,可以手工修改 URL 中的订单 ID 从而获取到任意用户的订单信息。这个过程可以连续地进行。

下图中,攻击者访问了 ID 为 8 的订单详情,而这个订单本应属于「test01」用户。

图3
图3

HTTP 交互流程如下:

表2
表2

二、iFlow虚拟补丁后的网站

我们在 Web 服务器前部署 iFlow 业务安全加固平台,它有能力拦截、计算和修改双向 HTTP 报文并具备存储能力,成为 Web 应用的虚拟补丁。在本例中,iFlow 记录订单列表中的所有订单 ID,在用户访问订单详情时进行检查。

2.1 正常用户访问

服务器在返回用户订单列表时,iFlow 解析出每一订单项目的订单 ID 形成用户的 合法id记录。用户在访问订单详情时,iFlow 检查要访问的订单 ID 是否包含在 合法id记录 中。

正常用户的 HTTP 交互流程如下:

表3
表3

2.2 攻击者访问

如前所示,攻击者自行修改订单 ID 发出请求,iFlow 拦截此请求,发现请求的 ID 不在 合法id记录 中,即终止此过程。

攻击者的 HTTP 协议交互过程如下:

表4
表4

2.3 代码

iFlow 内置的 W2 语言是一种专门用于实现 Web 应用安全加固的类编程语言。它介于配置和通用语言之间,具备编程的基本要素和针对 HTTP 协议的特有扩展,能为业务系统编写涉及复杂判断和动态修改的逻辑。

考虑到安全产品的使用者通常为非程序员,他们习惯面对配置文件而非一段代码。因此,W2 语言虽包含语言要素,仍以规则文件方式呈现,并采用可以体现层次结构和方便词法校验的 JSON 格式。

用 W2 语言实现上述虚拟补丁的代码如下:

代码语言:txt
复制
[
	{
        "if": [
			"streq(REQUEST_FILENAME, '/shopx/index.php')",
			"streq(@ARGS.s, '/index/order/index.html')"
		],
		"then": {
            "execution": { 
                "directive": "setVariable", 
                "variable": "SESSION.valid_ids", 
                "value": "rxMatch(RESPONSE_BODY, '<a[^>]+href=\"[^\"].*(/index/order/detail/id.*)\" target=.*\"[^>]*>', -1, 1)",
                "expiry": 3600
            } 
        }
    },
    {
        "if": [ 
            "streq(REQUEST_FILENAME, '/shopx/public/index.php')",
            "contain(@ARGS.s, '/index/order/detail/id')",
            "!contain(SESSION.valid_ids, @ARGS.s)",
        ],
        "then": { 
            "verdict": { 
                "action": "deny", 
                "log": "User access page ${@ARGS.s} NOT in ${SESSION.valid_ids}" 
            } 
        } 
    }
]

示例代码中有两条规则,分别作用如下:

第一条规则

当服务器返回订单列表时,iFlow 解析此响应。iFlow 用正则表达式匹配列表中每一个订单详情的链接,然后保存在会话 (SESSION) 的存储变量 valid_ids 中。

第二条规则

当浏览器请求订单详情时,iFlow 拦截此请求。iFlow 检查请求参数 s 是否包含在会话 (SESSION) 的存储变量 valid_ids 中。如果没有,则表示这个订单 ID 是攻击者自行输入的,阻止访问。

注意:上述会话中的 valid_ids 是保存在服务器端的 iFlow 存储中的,攻击者在浏览器端是看不到数据更无法进行修改的。

三、总结

iFlow 使用两条规则在不修改服务器端代码的前提下,利用没有越权的订单列表信息,透明地保证了订单详情不被水平越权查看。

这个例子是建立在用户常规操作顺序的基础上的,即先获得订单列表再查看订单详情。如果网站的其他页面也包含了订单详情链接或者用户从书签中访问订单详情,则会产生误判。因此,它仅适用于这个场景而非彻底解决了水平越权问题。

以补丁方式解决水平越权问题还可以有其他一些方式,如后端参数混淆、加入鉴别码等方式。如何用 iFlow 实现这些功能,在后续介绍中可以看到。(张戈 | 天存信息)

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、原始网站
    • 1.1 正常用户访问
      • 1.2 攻击者访问
      • 二、iFlow虚拟补丁后的网站
        • 2.1 正常用户访问
          • 2.2 攻击者访问
            • 2.3 代码
            • 三、总结
            相关产品与服务
            Web 应用防火墙
            腾讯云 Web 应用防火墙(Web Application Firewall,WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等网站及 Web 业务安全防护问题。企业通过部署腾讯云 WAF 服务,将 Web 攻击威胁压力转移到腾讯云 WAF 防护集群节点,分钟级获取腾讯 Web 业务防护能力,为网站及 Web 业务安全运营保驾护航。
            领券
            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档