越权系统建设之路

2024-11-26 89 0

一、产品整体架构

产品整体的流程如图所示,按照该架构图来分块讲下建设中的详情与问题

越权系统建设之路插图

二、过滤规则

2.1 接口标签级过滤:

  1. 这部分目前采用的是由人工进行打标公共接口的方式。
  2. 根据一些匹配规则、如city、capture、login、logout、sendsms去匹配接口进行自动化检测、这里是按照收集的关键词进行末尾匹配进行打标
  3. 通过IAST的插桩方式实现接口的增删改查接口标签(该想法借鉴于货啦啦的越权想法)、该标签可对无效数据占比和DAST被动扫描俩个功能或产品。

2.2 过滤规则过滤

  1. URL过滤:这部分来弥补公共接口标签不足的方面、仍然根据特征匹配
  2. body过滤:这部分采取通过在相关响应体选中相关词语加入词库(该词库做用类型于发布某些敏感内容匹配的作法)
  3. EL表达式过滤:这部分通过el表达式来组合过滤一些特殊的误报情况、也会过滤js,png此类似的特殊后缀请求
  4. 白名单过滤:这部分内容主要是用于低位无须处理的漏洞重复告警问题
  5. 响应体无效数据占比过滤:运营过的同学都会知道,某些接口返回{"code":"true",data:""}类似于这种无意义的响应体、该功能便会基于收集此类数据,做一个占比过滤(该规则不会应用于delete\update\add类接口
  6. 缓存过滤:当某接口漏洞被检测过无漏洞或者有漏洞情况时在一个月内不回再对该接口扫描

越权系统建设之路插图1

三、权限接入

3.1 接入账号权限设计:个人认为越权此类系统,对于接入系统的账号,应该尽量找开发或者测试单独定制。会较高的提高相关告警处理以及准确度

后台类项目:此类检测应该属于比较好检测的场景、

高权限:即管理员。

低权限:最开始我们会找开发或者测试设计一个只有接入系统没有任何功能操作、或只有一个功能操作类的用户作为安全测试角色。

平行用户类系统一(存在项目分组、角色归于某个组场景):

高权限:即一个正常用户。

低权限:该低权限账号一定要尽量找一个单独分组的用户、即该用户的数据要单独化、即只有该用户拥有该数据、或者直接没有数据。

平行用户类系统二、(即类似电商):该类系统对于角色或者数据集设计其实没有太大的意义、就采用俩个账号即可,可以更具api文档引入接口意义,只针对高风险接口做及时的处理

3.2 权限接入配置:

权限接入设计到俩大类:1、单点登录系统,2、非单点登录系统。此时登录代码、以及账号配置应该尽量前置化。

越权系统建设之路插图2

在前端新增登录登录,在登录多次登录失败进行告警提醒、可能存在登录逻辑变更

越权系统建设之路插图3

运营方面:

四、相似度过滤:

相似度算法这里分为高低、高原、低源三个相似度、相似度算法取于Jaro-Winkler算法。在公司运营过程取大于80%相似度的。

五、yapi文档接入:

对于接口含义单独从接口中可能无法设计、此时接口yapi平台中对于接口的描述更有利于运营

六、单点登录信息:

在公司单点登录系统中,会存在一个功能返回该用户拥有的权限的接口有哪些作为辅助判断


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

应急响应:Windows服务器靶机门罗币挖矿应急处理流程
浅谈目录权限导致的文件劫持
海外的bug-hunters,不一样的403bypass
java代码审计 | struts2框架路由详解
电子数据取证 | 一次电子数据取证的尝试与反思
结合ppid欺骗和远线程注入实现dll挖空

发布评论