导航菜单
路很长,又很短
博主信息
昵   称:Cocodroid ->关于我
Q     Q:2531075716
博文数:356
阅读量:1648241
访问量:205638
至今:
×
云标签 标签球>>
云标签 - Su的技术博客
Tags : 漏洞,安全,越权发表时间: 2021-11-11 23:47:33

哪吒 八戒技术团队

猪八戒分享课堂停课有一段时间了,上周五安全技术取经团的萨真人(陶大爷)给我们再次带来了一场“讨打”的。没有到场的小伙伴来听听现场“技者”发回的报道。


首先分享从一个“微信红包致富”的小故事开场,想必很多同学都有说耳闻,这里还是重复给大家摆一摆,在大家点击红包的“開”的时候,会发送一个http请求,请求的地址:https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx6fa7e3bab7e15415&redirect_uri=https://wxapp.tenpay.com/v2/hybrid/www/weixin/hongbao/receive.shtml?showwxpaytitle=1&sendid=1000000000201501092047478999&channelid=1&msgtype=1。大家仔细看sendid参数有没有什么特别的想法?如果没有,不好意思你错过了成为百万富翁的机会。这个ID具有明显的连续性,可以遍历,那么遍历能不能捡到红包呢?


于是就有了下面的小脚本,开启了发家致富之路。

图片


从这个小故事进入了我们今天的主题“越权”


接着萨真人用现实中的门禁卡来形象的比喻什么是越权。

图片



那么你可能要问了,越权是如何发生的呢?

接着萨真人通过四个典型的案列来给我们讲解了常见的越权问题是如何发生的

图片
(案列涉及敏感信息,请各位自行翻阅历史安全月报)


那么谈了漏洞的产生,当然要来给大家讲一讲如何去避免这类问题的发生。

萨真人在分享中提到两个方面

1、时刻谨记权限判断

2、参数加密

同时萨真人用一段代码来给大家分享如何去做。


以下是具有问题的代码

图片

修改后

图片

双管其下就能测底避免越权问题的发生。


在这里有小伙伴提问了:到底什么时候应该对参数加密呢?

这个问题非常好,其实我们也不知道你的业务场景,所以很难给到非常好的建议,但是有一个原则大家可以牢记:参数是数字,且返回内容中包含有价值的数据(用户、需求、店铺、服务、订单等)。当然我们更建议大家养成不使用ID作为参数传递的习惯,养成这个好习惯以后就不用去纠结什么时候使用,什么时候不使用了。同时对于这个加密的函数必须是自定义的对称加密函数,如果只是简单的base64或者urlencode,那就真是掩耳盗铃啦!


在分享的最后,萨真人还通过一组数据来反应越权的危害以及可能导致的损失

图片


最后再次提醒各位开发同学,不要做“最贵”的人!也许你一行错误的代码,不但不能为公司创造价值,反而会损失上百万。


取经路上,安全第一。


活动照片(感谢豪杰、肖山提供)

图片

图片


此外,欢迎各位同学在发现猪八戒网安全问题的时候提交到我们安全应急响应中心(http://sec.zbj.com),大量猪币和礼物等着你。



...阅读原文
推荐文章