认证授权--越权访问测试用例

漏洞名称

越权访问

漏洞描述

越权访问，这类漏洞是指应用在检查授权（Authorization）时存在纰漏，使得攻击者在获得低权限用户帐后后，可以利用一些方式绕过权限检查，访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查中，这类漏洞往往很难通过工具进行自动化检测，因此在实际应用中危害很大。其与未授权访问有一定差别。目前存在着两种越权操作类型：横向越权操作和纵向越权操作。前者指的是攻击者尝试访问与他拥有相同权限的用户的资源；而后者指的是一个低级别攻击者尝试访问高级别用户的资源。

漏洞等级

高危

检测条件

1.Web业务存在不同级别的权限（角色）

2.可通过用户名登录网站内进行功能的操作。

3.Web业务正常运行

检测方法

1.以超管 admin（高权限用户） 身份登录系统

2.找到一个只有超管（高权限）才有的功能的链接,比如说:"http://localhost/mywebappname/userManage/userList.do" , 显示出所有的user,并复制此链接.

3.以普通用户登陆进系统,在地址栏输入: userManage/userList.do ,如果可以查看到其所有的user，则就造成了,普通用户的越权访问

修复方案

对用户操作进行权限校验，防止通过修改参数进入未授权页面及进行非法操作，建议在服务端对请求的数据和当前用户身份做一个校验检查。流程描述：在服务器接收到用户发送的页面访问请求时，根据预设的识别策略，从用户的页面访问请求中提取该用户对应的用户唯一标识信息，同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数，将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中；检测到用户提交请求页面的表单时，将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对，控制该用户的访问。

其他说明

越权访问又分为未授权和低权限访问高权限两种情况，后者测试的时候需要申请2个低级权限1个高级权限进行测试