实战案例(2)：OWASP Top 10 2021 失效的访问控制 1-10

案例一：越权重置密码

翼龙贷漏洞礼包（敏感信息泄露和密码重置漏洞） https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0124387

安全风险【已修复】：

1. 翼龙贷的找回密码（http://**.**.**.**/page/findpwdEmail.jsp?email=**@**.com）有两个步骤：1、邮箱验证码验证身份；2、重置登录密码。
2. 攻击也是两个步骤：1、使用自己的邮箱验证码进行身份验证；2、重置登录密码时进行抓包，将自己的邮箱改为受害者的邮箱，从而重置受害者的密码。
3. 实际攻击会更复杂些：1、第二步重置受害者密码时，参数除了受害者邮箱还需要受害者帐号id，好在受害者帐号id可在第一步验证身份时拿到；2、第二步重置受害者密码时，在抓包将自己的邮箱改为受害者的邮箱前，需要先对受害者的邮箱执行第一步的发送邮箱验证码操作，才能成功对受害者密码进行重置。

安全建议：

1. 需要重置密码的帐号，应该是完成身份验证的帐号，不应受到用户可控可篡改的其他参数影响。

案例二：越权查看收货地址

聚美优品任意用户收货地址查看(包含用户名、联系电话、详细地址) https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-083201

安全风险【已修复】：

1. 在聚美优品网购，下单后进入支付页面（http://**.**.**.**/i/MobileWap/pay/?batch_trade_number=**&gateway_name=&gateway=AlipayMobileWap&address_id=48218711&logistic_preference=&prefer_delivery_day=）进行信息确认与点击付款，需要确认的信息包括收货地址（姓名、电话、详细住址）等。
2. 该支付页面的参数address_id可进行遍历，从而获取聚美优品中所有用户的收货地址信息。

安全建议：

1. 基于用户cookie查看信息，而不是基于用户可控可篡改的URL参数。

案例三：越权查看公积金明细

武汉住房个人公积金随意查明细 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2013-020375

安全风险【已修复】：

1. 武汉住房公积金页面（http://**.**.**.**/4.asp）的请求参数（bank=XX&wd=XXXX&dwzh=XXXXXXX&xgrzh=XXXXXXXXX&jgrzh=&grzh=XXXXXXXXX&name=XXXXXXXXXXXXXXXXXX&Submit=XXXXXXXXXXXXXXXXXX）中，修改xgrzh参数可以查看其他人的公积金缴存明细。

安全建议：

1. 基于用户cookie查看信息，而不是基于用户可控可篡改的URL参数。

案例四：越权查看个人简历

中国鞋业人才网45w简历泄露 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0146823

安全风险【已修复】：

1. 中国鞋业人才网存在未授权访问漏洞（http://**.**.**.**/manage/talent/cn/infoView.action?talent.id=543095），id取值范围从100000开始，遍历id即可下载所有简历，包含个人详细信息，例如：姓名、电话、出生年月、家庭住址。

安全建议：

1. 基于用户cookie查看信息，而不是基于用户可控可篡改的URL参数。

案例五：未授权注册帐号

金银岛某站配置不当可泄露内部信息 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0126637

安全风险【已修复】：

1. 金银岛的JIRA（http://**.**.**.**:8888/）可以注册帐号，登录后可查看项目进展与分工情况。

安全建议：

1. 企业内部系统禁止注册帐号，应由管理员创建帐号，或与公司的4A、SSO、域控等帐号管理平台进行对接。

案例六：未授权访问后台地址

凡诺企业网站管理系统后台绕过 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2013-043237

安全风险【已修复】：

1. 凡诺企业网站管理系统后台（http://**.**.**.**/admin/main/site_info.asp）无需授权即可访问。

安全建议：

1. 所有后台地址都应在校验cookie等身份凭据后才能访问。

案例七：未授权导出帐号密码

江南科友堡垒机直接获取主机账密/IP/暴漏物理路径 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0135704

安全风险【已修复】：

1. 访问江南科友堡垒机地址（http://**.**.**.**/excel/sso_user_export.php）即可导出堡垒机的明文帐号密码清单（user.xls），而这些账密在数据库中是sha1加密存储的。

安全建议：

1. 所有后台地址都应在校验cookie等身份凭据后才能访问。

案例八：未授权下载帐号密码

博华网龙防火墙系列产品XML数据库文件未授权访问（可登录设备） https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2016-0207791

安全风险【已修复】：

1. 博华网龙防火墙存在未授权访问漏洞（http://**.**.**.**/xml/users.xml），可下载防火墙的明文帐号密码清单（users.xml），可登录防火墙。

安全建议：

1. 所有后台地址都应在校验cookie等身份凭据后才能访问。

案例九：未授权访问Redis服务

263通信某服务未授权访问导致Shell直入大内网(影响数百主机安全) https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2016-0210705

安全风险【已修复】：

1. 263公司的Redis服务（redis://**.**.**.**:6381）开放到互联网且存在未授权访问漏洞，可写入计划任务反弹shell获得服务器控制权限，使用nmap工具探测该服务器（192.168.167.60）C段发现35台服务器。

安全建议：

1. 建议设置仅本机访问redis服务，在/etc/redis.conf中配置：bind 127.0.0.1；
2. 建议在操作系统中用iptables设置访问白名单，使用命令：iptables -A INPUT -s **.**.**.** -p tcp --dport 6379 -j ACCEPT；
3. 建议设置密码认证，在/etc/redis.conf中配置：requirepass ****************；

案例十：匿名访问FTP服务+Web后门上传

中兴能源光伏电站远程监控系统轻松拿下远程登陆 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2016-0169983

安全风险【已修复】：

1. 中兴能源光伏电站的远程监控系统开放FTP服务（21端口）和Web服务（8222端口）。FTP服务允许匿名访问，可上传木马（**.**.**.**/a.aspx）到Web目录下，通过Web服务（**.**.**.**:8222/a.aspx）进行访问，从而拿下服务器控制权限。

安全建议：

1. 禁止FTP匿名访问；
2. 禁止将运维用途的FTP服务开放到互联网。