“三员系统”中常见的越权问题(2)

2.遇到有COOKIE共用(多次登录同一或不同用户COOKIE相同)的Web应用时，因为COOKIE不变并不需要替换COOKIE直接替换Web的当前用户就能直接发送请求来测试。但这时候未授权漏洞和COOKIE退出不清除的问题会影响越权漏洞的验证，要在验证越权前先确定未授权漏洞和COOKIE退出不清除这两个问题不存在。

3.三员之间的交叉越权最常出现在同一功能不同权限处。如：系统管理员和安全保密管理员都有用户这个功能模块，但仅有系统管理员有添加用户的功能，仅有安全保密管理员有赋予用户权限的功能，在程序对功能模块进行身份验证但对其中的子功能缺乏验证时就会出现越权漏洞。

1.3.2三员管理员的垂直越权

本漏洞是在用户有某一功能的权限且增删改查的值有限制但限制不完善的情况下，会出现的问题。

例：

三员管理员可以添加自己权限的子用户。抓取系统管理员的用户角色添加功能，其中存在roles=1的字段，可能是角色控制的值，修改为roleid=2继续发送发现请求成功，在Web端查看该用户已被赋予安全管理员角色，很明显存在越权漏洞。

注意：

1. 在实际测试中可能不会出现roleid这样明显的角色字眼，这时候就要认真分析和尝试出请求中每个字段的意义，在进行测试。

2. 该漏洞常出现在用户添加、赋予角色等跟用户角色相关但有限制的地方，一旦程序限制不完善就会出现漏洞。

1.3.3三员子用户/普通用户的垂直越权

登录C管理员，执行C管理员的功能y，抓取保存y功能包。退出C管理员，登录D三员子用户/普通用户，抓取D的COOKIE，将y功能包中的COOKIE替换成D的COOKIE，发送y功能包。通过响应包或到y功能的Web页面处查看请求是否成功，成功则存在越权漏洞。

与1.3.1类似，不同是的利用低权限用户的身份执行高权限用户独有的功能。

1.3.4三员子用户/普通用户的水平越权

登录E用户执行E用户的功能z，抓取z功能包将其中的用户识别id修改为F用户的（如E修改密码时抓取到功能包：username=E&passwd=123,修改成username=F&passwd=123），发送请求测试F用户对应的功能是否被修改，成功修改则存在越权漏洞。

未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。

常见的第三方未授权访问漏洞：

1.MongoDB 未授权访问漏洞

2.Redis 未授权访问漏洞

3.Memcached 未授权访问漏洞CVE-2013-7239

4.JBOSS 未授权访问漏洞

5.VNC 未授权访问漏洞

6.Docker 未授权访问漏洞

7.ZooKeeper 未授权访问漏洞

8.Rsync 未授权访问漏洞

以上都第三方的未授权漏洞，如果Web系统中有用到以上组件，就要及时更新该组件修复漏洞。Web应用本身也存在未授权漏洞，常见有以下两类：

1.没有作任何的用户身份认证手段。

2.一些特定的页面或文件未做认证。

第一类问题的测试只需要随意抓取用户功能，将其中的用户认证信息（COOKIE等）清空或修改然后发送，若请求成功便存在未授权漏洞。

第二类问题测试方式与第一类问题一样，只是特定的页面或文件才存在。一般常见于：可文件、用户手册、Web应用新添加的功能页面。