php越权技巧_常见 Web 应用越权马脚分析与戒备研究

Web 运用常日用于对外供应做事，由于具有开放性的特点，逐渐成为网络攻击的主要工具，而漏洞利用是实现 Web 攻击的紧张技能路子。
越权漏洞作为一种常见的高危安全漏洞，被开 放 Web 应 用 安 全 项 目（Open Web Application Security Project，OWASP） 列 入 10 个 最 关 键Web 运用程序安全漏洞列表。
结合近几年表露的与越权干系的 Web 运用通用漏洞表露（Common Vulnerability and Exposures，CVE）漏洞，通过剖析 Web 越权漏洞成因和常见攻击方法，提出了针对 Web 越权漏洞攻击的戒备方法。

随着 Web 技能的迅猛发展，Web 运用已经遍及到企业管理、电子商务等各个领域。
由于 Web 运器具有开放性的特点，逐渐成为网络攻击者的重点攻击工具。
Web 运用在给人们的事情带来方便的同时，也带来了巨大的安全风险。
软件一定存在各种已知或未知的漏洞，Web 运用也不例外 。
常见的漏洞有构造化查询措辞（Structured Query Language，SQL）注入漏洞、跨站脚本漏洞（Cross Site Script，XSS）、跨站要求假造漏洞（Cross Site Request Forgery，CSRF）、指令实行漏洞、文件包含漏洞、越权访问漏洞等 。

Web 运用漏洞无法杜绝，目前最有效的戒备办法是采取 Web 漏洞扫描技能尽可能创造潜在漏洞并进行处理。
对付 SQL 注入、XSS、CSRF 等 Web 漏洞，业界已经有了比较成熟的检测和戒备方法 ，基于Fuzzing 技能的漏洞挖掘近年也被广泛运用于 Web运用的漏洞检测中 。

Web 越权漏洞是一种常见的逻辑漏洞，是指未对通过身份验证的用户履行恰当的访问掌握，攻击者利用这一漏洞，在未经授权的情形下，透露、修正或销毁数据，或在权限之外实行业务功能。
越 权 漏 洞 在 开 放 Web 应 用 安 全 项 目（Open Web Application Security Project，OWASP）中被称为“访问掌握失落效（Broken Access Control）”。

OWASP 是一个致力于 Web 运用安全研究的开源、非营利、环球性安全组织，每年总结发布最可能发生、最常见、最危险的前 10 个 Web 漏洞的榜单，是 Web 运用安全领域的威信参考。
在 2021 年OWASP 发布的榜单中，越权漏洞从 2017 年的第5 名，跃居至第 1 名，成为 Web 运用安全中最可能发生、最危险的安全漏洞类型。
由于越权漏洞属于程序逻辑漏洞，其防护和检测的难度非常大。

本文从漏洞威胁等级、影响面、攻击代价、利用难度等几个方面综合考虑，选择近 3 年的范例越权漏洞进行剖析，通过剖析 Web 越权漏洞的成因和常见攻击方法，给出戒备 Web 越权漏洞的一样平常方法。

通用漏洞表露（Common Vulnerability and Exposures，CVE）是一个公开的威信网络安全漏洞和暴露的列表，它通过 CVE 标识符唯一标识每个已创造的软 件 漏 洞， 并 基 于 通 用 漏 洞 评 分 系 统（Common Vulnerability Scoring System，CVSS）评分对漏洞进行优先级排序。
本文根据 CVE 漏洞描述和 CVSS 漏洞评分，选择近几年创造的与 Apache Superset、Joomla、Alibaba Nacos、Zabbix、Apache ShenYu 这几个在 Web 开拓中广泛运用的 Web 组件干系的高危越权漏洞进行剖析。

1.1 Apache Superset 身份验证绕过漏洞

Apache Superset 身份验证绕过漏洞于 2023 年4 月由 Apache 官方发布，漏洞编号为 CVE-2023-27524，CVSS 漏洞评分为 8.9，属于高危漏洞。
由于用户没有修正默认配置，该漏洞使得攻击者可以通过假造 Cookie 绕过身份验证，属于范例的缺点参数配置造成的越权访问漏洞。

Apache Superset 是一种用于数据探索和数据可 视 化 的 开 源 Web 应 用 程 序。
它 基 于 PythonFlask 框架，是适用于企业日常生产环境的商业智 能 可 视 化 工 具。
该 Web 应 用 的 用 户 状 态 管 理使 用 SECRET_KEY 加 密 签 名 cookie 进 行 验 证，Superset-2.0.1 之前的版本安装时 SECRET_KEY 默认 为 \x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\h， 如果 用 户 使 用 默 认 SECRET_KEY 值， 则 SECRET_KEY 将暴露，攻击者可以利用 SECRET_KEY 天生假造 cookie，在未授权情形下访问 Web 运用程序，实现敏感数据盗取或任意代码实行。

利用 Flask-Unsign 工具验证目标网站是否存在CVE-2023-27524 漏洞的界面如图 1 所示。

图 1 CVE-2023-27524 漏洞验证

1.2 Joomla 未经授权访问漏洞

Joomla 未 经 授 权 访 问 漏 洞 于 2023 年 2 月 由Joomla 官 方 发 布， 漏 洞 编 号 CVE-2023-23752，漏洞评分 7.5，属于高危漏洞。
该漏洞是范例的不 安 全 的 应 用 程 序 接 口（Application Programming Interface，API）访问掌握造成的越权访问漏洞。

Joomla 是天下上利用最广泛的开源内容管理系 统（Content Management System，CMS） 之 一，该系统用 PHP 措辞与 MySQL 数据库开拓，可以在Windows、Linux 等多种平台运行，方便用户构建网站和 Web 运用程序。

Joomla 有 3 个路由入口，分别是根目录 index.php（用户访问入口）、administrator/index.php（管理员入口）和 api/index.php（开拓者 RestAPI 接口）。
由于 Joomla对 Web 做事端点的访问掌握存在毛病，未经身份认证的攻击者可以通过假造特定要求访问 RestAPI 接口获取 Joomla 干系配置信息，导致敏感信息泄露。

4.0.0 至 4.2.7 的 Joomla 未 授 权 访 问 统 一 资 源定 位 器（Uniform Resource Locator，URL） 路 径 为api/index.php/v1/config/application?public=true， 通 过该路径访问能够获取用户名、口令等敏感信息，如图 2 所示。

图 2 CVE-2023-23752 漏洞验证

1.3 Alibaba Nacos 访问掌握漏洞

Alibaba Nacos 访问掌握漏洞于 2020 年 12 月由Alibaba Nacos 官方在 github 发布的 issue 中表露，漏洞编号 CVE-2021-43116，CVSS 漏洞评分 8.8，属于高危漏洞。
该漏洞是由于未精确处理超文本传输（Hypertext Transfer Protocol，HTTP） 协 议 头 的User-Agent 参数导致的未授权访问漏洞，利用该漏洞攻击者可以进行任意操作，包括创建新用户及进行认证登录授权操作。

Nacos 是阿里巴巴推出的用于创造、配置和管理微做事的开源软件，广泛运用于微做事运用处景。
其 2.0.0-ALPHA.1 以下版本软件为处理做事端到做事真个要求，将协商好的 User-Agent 参数设置“Nacos-Server”。
在认证授权操作时，当创造要求的 User-Agent 为“Nacos-Server”时就不进行任何认证，导致了漏洞的涌现，如图 3 所示。

图 3 CVE-2021-43116 漏洞验证

1.4 Zabbix 身份认证绕过漏洞

Zabbix 身 份 认 证 绕 过 漏 洞 由 Zabbix 官 方 于2022 年初发布，漏洞编号 CVE-2022-23131，CVSS漏洞评分 9.1，为高危漏洞。
该漏洞属于会话信息处理机制的问题，因此攻击者可以假造数据绕过认证进入掌握台，属于范例的不当的会话管理造成的越权访问漏洞。

Zabbix 是一个非常盛行的企业级开源监控平台，基于 Web 界面供应分布式系统监视及网络监视功能。
Zabbix 将会话信息加密后保存在客户端Cookie 中，在 5.4.0 ～ 5.4.8 的版本中，数据只在验证 SessionID 时才进行加密处理，导致其他 Key 数据不会被加密。
在通过 SAML SSO 单点登录进行认证时，将直接读取 SAML 中用户信息进行认证。
如图 4 所示，由于 SAML 数据未加密，客户端可以假造数据绕过认证，以管理员身份进入 Zabbix 掌握台，造发展途命令实行或敏感信息泄露。

图 4 CVE-2023-23752 漏洞验证

1.5 Apache ShenYu 身份验证绕过漏洞

Apache ShenYu 身 份 验 证 绕 过 漏 洞 于 2021 年11 月 由 Apache 官 方 发 布， 漏 洞 编 号 CVE-2021-37580，CVSS 漏洞评分 9.8，属于高危漏洞。
由于ShenyuAdminBootstrap 中 JWT 的缺点利用，攻击者可以利用该漏洞绕过身份验证，直接进入目标系统，属于范例的校验不充分造成的越权访问漏洞。

Apache ShenYu 是一款高性能、跨措辞、相应式的开源 API 网关，支持 SpringCloud、Motan 等多种协议，兼容多种主流框架，广泛运用于各种微做事场景中。
Apache ShenYu 采取 JWT（JSON Web Token）技能进行身份认证。
JWT 是一个开放标准，用于作为 JSON 工具在各方之间通报安全信息。
在Apache ShenYu Admin 2.3.0 至 2.4.0 版 本 中， 通 过token 获取 userInfo 工具时，仅对 token 进行解析，但未进行充分校验，攻击者可通过该漏洞绕过管理者身份认证，进而获取管理员账号和口令 ，如图 5 所示。

图 5 CVE-2021-37580 漏洞验证

通过以上对范例的 Web 越权漏洞的剖析可以看出，Web 越权漏洞形成的紧张缘故原由还是开拓职员在设计阶段对用户权限的设计存在疏漏，当访问掌握没有精确设计与配置时，许可攻击者在未授权的情形下绕过或提升系统或运用程序所分配的权限。
进一步细分 Web 越权漏洞的成因，紧张有以下几种。

（1）缺点的访问掌握机制：包括禁绝确的用户权限管理、违反最小化授权原则、短缺访问掌握机制，会导致未授权访问或权限提升。

（2）访问掌握配置不当：包括未变动默认访问掌握设置、缺点配置用户权限、未精确配置文件或目录权限，如 Apache Superset CVE-2023-27524身份验证绕过漏洞。

（3）不屈安的工具引用：许可用户操作 Web运用内部工具引用，可能导致未授权访问或敏感信息透露，例如，许可用户直接引用 Web 运用内部的数据库或文件。

（4）不当的会话管理：包括用户在注销后未使会话令牌（Token）失落效，以及存在不屈安的或可预测的访问掌握令牌，可能许可攻击者挟制有效的用户会话进行未授权访问，如 Zabbix CVE-2022-23131 身份认证绕过漏洞。

（5）不屈安的 API 访问掌握机制：包括未精确验证 API 要求者身份，未限定访问频率，短缺对POST、PUT 和 DELETE 的访问掌握，许可不信赖的来源访问，如 Joomla CVE-2023-23752 未经授权的 API 访问掌握漏洞。

（6）用户输入校验不充分：不充分的输入验证可能许可攻击者通过注入恶意输入或绕过输入过滤器来绕过访问掌握，导致路径遍历、文件包含或命令注入等漏洞。

3.1 Web 越权漏洞攻击模式

Web 越权漏洞的常见攻击模式包括垂直越权、水平越权、不屈安的直接工具运用、强行浏览、参数修改。

（1）垂直越权。
在这种攻击模式中，攻击者利用经由认证的用户身份，通过操纵参数、会话令牌或用户角色绕过访问掌握，访问或实行更高权限用户的操作，达到提升系统中权限的意图。

（2）水平越权。
在这种攻击模式中，攻击者通过操纵参数或会话令牌，绕过在不同账户之间逼迫分离的访问掌握，并以合法用户相同的权限进入另一个账户。

（3）不屈安的直接工具引用（Insecure Direct Object References，IDOR）。
在 Web 运用中通过用户输入从数据库或其他来源访问或操作资源，而输入没有经由充分地校验或授权时，攻击者可以未经授权对系统资源进行访问。

（4）强行浏览。
在这种攻击模式中，攻击者试图通过手动预测或系统地列举资源 URL 或路径来访问受限定的资源。
通过利用不恰当的或薄弱的访问掌握，他们可能会创造并访问敏感信息或应受保护的功能。

（5）参数修改实现权限升级。
在这种攻击模式中，攻击者操纵要求中通报的参数改变运用程序的预期行为，如用户 ID、角色或权限，试图得到更高的权限或访问受限定的资源。

（6）不屈安的功能级授权。
这种攻击模式针对运用程序进行功能级授权处理时存在的漏洞。
攻击者利用特定功能或 API 中薄弱或缺失落的访问掌握，得到对敏感操作或数据的未授权访问。

3.2 Web 越权漏洞攻击流程

Web 越权漏洞攻击的流程一样平常包括侦查、用户列举、识别目标用户、漏洞利用、未授权访问。

（1）侦查：攻击者网络有关目标系统的信息，包括识别潜在的用户和他们在系统中的角色或权限。

（2）用户列举：攻击者通过用户名列举、搜索用户名单或利用信息泄露等技能，探测、列举系统中的有效账户。

（3）识别目标用户：攻击者选择一个具有较低权限的特定账户，并确定具有较高权限的目标账户。

（4）漏洞利用：攻击者剖析、识别与利用系统的访问掌握机制或运用逻辑中的绕过认证、操纵授权检讨及缺点配置等漏洞，实现权限提升。

（5）未授权访问：一旦漏洞被成功利用，攻击者就能以更高的权限进入目标账户，修正用户角色、权限或会话令牌，访问敏感数据，实行特权功能，或毁坏系统内的其他资源。

通过剖析 Web 越权漏洞成因和常见 Web 越权漏洞攻击方法，为了戒备 Web 越权漏洞带来的潜在攻击威胁，本文提出了以下方法：

（1）用户输入充分校验。
通过验证用户输入，戒备如 URL 操纵或参数修改等可能绕过访问掌握的攻击。

（2）安全会话管理。
有状态的会话标识符应在注销后在做事器上失落效；无状态的 JWT 令牌必须设定较短有效期，以便使基于令牌的攻击韶光窗口降到最小，而对付寿命较长的 JWT 令牌，强烈建议遵照 OAuth 标准来撤销访问。

（3）多层访问掌握模型。
采纳深层安全方法在 Web 运用程序、数据库和操作系统等层面综合履行访问掌握机制，如自主访问掌握（Discretionary Access Control，DAC）、 访 问 控 制 列 表（Access Control List，ACL）、基于角色的访问掌握（Role Based Access Control，RBAC）等建立多层保护，强化对未授权访问威胁的防御，纵然攻击者打破一个层面，也会被其他层面的防御机制阻挡。

（4）适当的缺点处理。
履行适当的缺点处理机制，以避免在缺点信息中透露有关访问掌握机制或系统内部的敏感信息。

（5）安全测试和审计。
定期对 Web 运用进行安全测试，如渗透测试和漏洞扫描，以发掘和检测系统访问掌握中的潜在漏洞。

越权漏洞作为 Web 运用中的一种常见的安全漏洞，利用大略且危害巨大，一旦被利用成功，可能导致未授权访问、敏感信息透露、数据修改、实行恶意代码等危害。
为了戒备越权漏洞攻击，本文提出在 Web 运用设计阶段引入越权漏洞戒备机制，在编码阶段履行充分验证用户输入、分配最小化权限、安全管理会话及建立多层访问掌握保护，在测试运行阶段对主要的数据资产做事器进行重点防护与安全配置检讨，并定期进行安全测试和审计。