黑客攻防技術寶典web實戰篇：攻擊訪問控制習題

貓寧！！！

參考連接：http://www.ituring.com.cn/book/885

 

隨書答案。

1. 一個應用程序可能經過使用 HTTP Referer 消息頭實施訪問控制，但它的正常
行爲並無公開表露這一點。如何檢測出這種缺陷？

選擇一系列你有權訪問的重要應用程序功能。經過提交通過修改的 Referer
消息頭或不帶該消息頭的請求訪問以上每一項功能。若是應用程序拒絕這些請
求，則說明它極可能易於受到攻擊。而後，嘗試經過另外一個不具備相關權限的用
戶提出相同的請求，但每次提交原始的 Referer 消息頭。若是應用程序如今接受
這些請求，則說明應用程序確定易於受到攻擊。

2. 登陸一個應用程序後，被重定向到如下 URL：
https://wahh-app.com/MyAccount.php?uid=1241126841
應用程序彷佛向 MyAccount.php 頁面提交一個用戶標識符。已知的惟一標識符是
本身的標識符。如何測試應用程序是否使用這個參數以不安全的方式實施訪問控
制？

應測試如下測試（按效率排序）：
(1) 使用相同的語法格式將 uid 值修改成其餘值。若是應用程序仍然返回你
本身的帳戶資料，則說明應用程序可能不易於受到攻擊。
(2) 若是可以註冊或以其餘方式訪問另外一個用戶帳戶，可使用該帳戶登陸以獲
得其餘用戶的 uid 值。而後使用本身的原始用戶權限，並用這個新 uid 值替代自
己的 uid 值；若是這時應用程序顯示有關其餘用戶的敏感數據，則說明應用程序
易於受到攻擊。
(3) 使用一段腳本從本身的 uid 得到數千個值，並肯定（若是提交這些值）應用
程序是否會返回任何其餘用戶的資料。
(4) 使用一段腳本請求介於 0 和 9999999999 之間的隨機 uid 值（在本示例
中），並肯定應用程序是否會返回任何其餘用戶的資料。

3. 因特網上的一個 Web 應用程序經過檢查用戶的來源 IP 地址實施訪問控制。爲
什麼這種行爲可能存在缺陷？

攻擊者能夠假冒其餘用戶的 IP 地址，雖然實際上要作到這一點可能極其困
難。更重要的是，若是因特網上的多個終端用戶位於同一 Web 代理服務器或 NAT
防火牆以後，則這些用戶可能共享同一 IP 地址。
在這種狀況下，要使基於 IP 的訪問控制發揮效率，一種方法是將其做爲深層防
御措施，以確保嘗試訪問管理功能的用戶位於組織的內部網絡中。固然，那些功
能還應由強大的身份驗證和會話處理機制進行保護。

4. 某應用程序的惟一用途是爲公衆提供可搜索的信息倉庫。該應用程序並未使
用任何驗證或會話管理機制。該應用程序應執行何種訪問控制？

該應用程序並未對訪問權限進行任何水平或垂直劃分，所以沒有必要實施訪
問控制來區分不一樣的個體用戶。
即便全部用戶均屬於同一類別，應用程序仍然須要限制用戶能夠執行的操
做。一個強健的解決方案是應用最低權限原則，以確保應用程序體系架構中的所
有用戶角色具備運行應用程序所需的最小權限。例如，若是用戶只須要對數據的
讀取訪問權限，則應用程序應使用一個低權限帳戶（僅具備對相關表的只讀權限）
來訪問數據庫。

5. 在瀏覽一個應用程序的過程當中遇到幾個應防止未受權訪問的敏感資源，它們
的文件擴展名爲.xls。這種狀況爲什麼應當即引發注意？

這些文件爲 Excel 電子表格，它們屬於靜態資源，應用程序沒法對其實施任何訪
問控制（如經過動態腳本）。應用程序可能會經過其餘方法（如 Web 服務器層）
來保護這些資源，但一般狀況下並不是如此。應當即檢查是否能夠不經驗證而訪問
這些資源。