注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

网易杭州 QA Team

务实 专注 分享 做有态度的QA

 
 
 
 
 

日志

 
 

和李白白一起了解安全测试之:Access Control Flaws访问控制缺陷  

来自李白白   2012-07-20 09:14:50|  分类: 安全测试 |举报 |字号 订阅

  下载LOFTER 我的照片书  |
1.1Using an Access Control Matrix矩阵暴力破解

课程介绍:一个角色只能访问固定的资源,探索这个web页面的权限规则,只有admin权限的user可以访问'Account Manager' resource.

目标:用非admin 权限的user访问到 'Account Manager' resource.

采用的方法:不停的尝试user resource之间的组合

直到找到 用户Larry 的角色是[User, Manager] 可以访问 'Account Manager' resource.

如下图:

Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team
 

到这时,课程算是完成了。

1.2Bypass a Path Based Access Control Scheme

课程介绍:"guest"权限的用户可以访问WebGoat-5.2\tomcat\webapps\WebGoat\lesson_plans该目录下的所有文件,我们要做的是试图用"guest"权限访问被允许访问目录以外的文件。

目标:"guest"权限访问tomcat/conf/tomcat-users.xml文件

使用到的工具:webscarab

准备工作(启动webgoat工程、开启代理和设置浏览器):

1、 运行WebScarab我们选择了get与post,我们只需要get与post请求的http消息进行篡改。

Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team
 

Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team
 

2、 打开IE浏览器的属性---连接--局域网设置,在代理地址中配置host127.0.0.1或localhost,port8008(此为软件件固定监听端口) 

Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team
 

Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team
 

Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team
 

到此,所有的前续工作完成,攻击开始,随便选中一个文件,点击"view file"

界面如下:

Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team
 

我们再看看web scarab截获的请求:

Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team
 
 

 BackDoors.html文件修改值为/../../../../conf/tomcat-users.xml
因为已经告诉你tomcat-users.xml的位置了,如果你事先不知道这个tomcat-users.xml那就这样试:
/../tomcat-users.xml 这个不对?
/../../tomcat-users.xml 这个不对?
/../../../../../tomcat-users.xml 这个应该对了吧
填好路径后,点击"accept changs"如出现下图所示则表示攻击成功:

Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team

1.3Role Based Access Control

基于角色的控制

用户有很多的分类,就像淘宝有买家、卖家、管理员,这种分类又称为角色。每一种角色代表着访问权限。正常的角色只能做所赋予权限内的事情。这节课的内容就是使一个不具备删除功能的角色能越权删除文件。

和李白白一起了解安全测试之:Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team

这些用户用我们找出具备delete profile权限的用户,经过筛选我们发现Larry具备删除权限。

我们登录Jarry用户,密码是jarry

登录后的页面如下:

和李白白一起了解安全测试之:Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team
 


这时我们打开Webscarab软件,勾选intercept requests选项

和李白白一起了解安全测试之:Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team

选择一个用户,点击DeleteProfile,通过WebScarab截获向服务器发送的请求,截图如下:

和李白白一起了解安全测试之:Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team

从图中可以看出,action对应的value值是DeleteProfile。我们随便换一个没有删除权限的用户(Tom)登录。登录后点击ViewProfile操作,用Webscarab捕获请求,如下图

和李白白一起了解安全测试之:Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team

ViewProfile改成DeleteProfile,然后点击Accept changes。如果出现下图,则表示攻击成功。

和李白白一起了解安全测试之:Access Control Flaws访问控制缺陷 - 网易杭州QA - 网易杭州 QA Team
 
 



 



 
 


  评论这张
 
阅读(713)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016