常見Web 應(yīng)用越權(quán)漏洞分析與防范研究*

姜程亮，時偉鈺，陳志強，羅 鵬，蘭 杰

（1.中國人民解放軍91001 部隊，北京 100841；2.北京市復(fù)興路14 號24 分隊，北京 100843；3.中國人民解放軍95486 部隊，四川 成都，610000；4.中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

隨著Web 技術(shù)的迅猛發(fā)展，Web 應(yīng)用已經(jīng)普及到企業(yè)管理、電子商務(wù)等各個領(lǐng)域。由于Web 應(yīng)用具有開放性的特點，逐漸成為網(wǎng)絡(luò)攻擊者的重點攻擊對象。Web 應(yīng)用在給人們的工作帶來方便的同時，也帶來了巨大的安全風(fēng)險。軟件一定存在各種已知或未知的漏洞，Web 應(yīng)用也不例外[1]。常見的漏洞有結(jié)構(gòu)化查詢語言（Structured Query Language，SQL）注入漏洞、跨站腳本漏洞（Cross Site Script，XSS）、跨站請求偽造漏洞（Cross Site Request Forgery，CSRF）、指令執(zhí)行漏洞、文件包含漏洞、越權(quán)訪問漏洞等[2-3]。

Web 應(yīng)用漏洞無法杜絕，目前最有效的防范辦法是采用Web 漏洞掃描技術(shù)盡可能發(fā)現(xiàn)潛在漏洞并進(jìn)行處理[4]。對于SQL注入、XSS、CSRF等Web漏洞，業(yè)界已經(jīng)有了比較成熟的檢測和防范方法[5]，基于Fuzzing 技術(shù)的漏洞挖掘近年也被廣泛應(yīng)用于Web應(yīng)用的漏洞檢測中[6]。

Web 越權(quán)漏洞是一種常見的邏輯漏洞，是指未對通過身份驗證的用戶實施恰當(dāng)?shù)脑L問控制，攻擊者利用這一漏洞，在未經(jīng)授權(quán)的情況下，泄露、修改或銷毀數(shù)據(jù)，或在權(quán)限之外執(zhí)行業(yè)務(wù)功能。越權(quán)漏洞在開放Web 應(yīng)用安全項目（Open Web Application Security Project，OWASP）中被稱為“訪問控制失效（Broken Access Control）”。

OWASP 是一個致力于Web 應(yīng)用安全研究的開源、非營利、全球性安全組織，每年總結(jié)發(fā)布最可能發(fā)生、最常見、最危險的前10 個Web 漏洞的榜單，是Web 應(yīng)用安全領(lǐng)域的權(quán)威參考。在2021 年OWASP 發(fā)布的榜單中，越權(quán)漏洞從2017 年的第5 名，躍居至第1 名[7]，成為Web 應(yīng)用安全中最可能發(fā)生、最危險的安全漏洞類型。由于越權(quán)漏洞屬于程序邏輯漏洞，其防護(hù)和檢測的難度非常大。

本文從漏洞威脅等級、影響面、攻擊價值、利用難度等幾個方面綜合考慮，選擇近3 年的典型越權(quán)漏洞進(jìn)行分析，通過分析Web 越權(quán)漏洞的成因和常見攻擊方法，給出防范Web 越權(quán)漏洞的一般方法。

1 常見Web 越權(quán)漏洞分析

通用漏洞披露（Common Vulnerability and Exposures，CVE）是一個公開的權(quán)威網(wǎng)絡(luò)安全漏洞和暴露的列表，它通過CVE 標(biāo)識符唯一標(biāo)識每個已發(fā)現(xiàn)的軟件漏洞，并基于通用漏洞評分系統(tǒng)（Common Vulnerability Scoring System，CVSS）評分對漏洞進(jìn)行優(yōu)先級排序。本文根據(jù)CVE 漏洞描述和CVSS 漏洞評分，選擇近幾年發(fā)現(xiàn)的與Apache Superset、Joomla、Alibaba Nacos、Zabbix、Apache ShenYu 這幾個在Web 開發(fā)中廣泛應(yīng)用的Web 組件相關(guān)的高危越權(quán)漏洞進(jìn)行分析。

1.1 Apache Superset 身份驗證繞過漏洞

Apache Superset 身份驗證繞過漏洞于2023 年4 月由Apache 官方發(fā)布，漏洞編號為CVE-2023-27524，CVSS 漏洞評分為8.9，屬于高危漏洞。由于用戶沒有修改默認(rèn)配置，該漏洞使得攻擊者可以通過偽造Cookie 繞過身份驗證，屬于典型的錯誤參數(shù)配置造成的越權(quán)訪問漏洞。

Apache Superset 是一種用于數(shù)據(jù)探索和數(shù)據(jù)可視化的開源Web 應(yīng)用程序[8]。它基于Python-Flask 框架，是適用于企業(yè)日常生產(chǎn)環(huán)境的商業(yè)智能可視化工具。該Web 應(yīng)用的用戶狀態(tài)管理使用SECRET_KEY 加密簽名cookie 進(jìn)行驗證，Superset-2.0.1 之前的版本安裝時SECRET_KEY 默認(rèn) 為x02x01thisismyscretkeyx01x02\e\y\y\h，如果用戶使用默認(rèn)SECRET_KEY 值，則SECRET_KEY 將暴露，攻擊者可以使用SECRET_KEY 生成偽造cookie，在未授權(quán)情況下訪問Web 應(yīng)用程序，實現(xiàn)敏感數(shù)據(jù)竊取或任意代碼執(zhí)行。

使用Flask-Unsign 工具驗證目標(biāo)網(wǎng)站是否存在CVE-2023-27524 漏洞的界面如圖1 所示。

圖1 CVE-2023-27524 漏洞驗證

1.2 Joomla 未經(jīng)授權(quán)訪問漏洞

Joomla 未經(jīng)授權(quán)訪問漏洞于2023 年2 月由Joomla 官方發(fā)布，漏洞編號CVE-2023-23752，漏洞評分7.5，屬于高危漏洞[9]。該漏洞是典型的不安全的應(yīng)用程序接口（Application Programming Interface，API）訪問控制造成的越權(quán)訪問漏洞。

Joomla 是世界上使用最廣泛的開源內(nèi)容管理系 統(tǒng)（Content Management System，CMS）之 一，該系統(tǒng)用PHP 語言與MySQL 數(shù)據(jù)庫開發(fā)，可以在Windows、Linux 等多種平臺運行，方便用戶構(gòu)建網(wǎng)站和Web 應(yīng)用程序。

Joomla 有3 個路由入口，分別是根目錄index.php（用戶訪問入口）、administrator/index.php（管理員入口）和api/index.php（開發(fā)者RestAPI 接口）。由于Joomla對Web 服務(wù)端點的訪問控制存在缺陷，未經(jīng)身份認(rèn)證的攻擊者可以通過偽造特定請求訪問RestAPI 接口獲取Joomla 相關(guān)配置信息，導(dǎo)致敏感信息泄漏。

4.0.0 至4.2.7 的Joomla 未授權(quán)訪問統(tǒng)一資源定位器（Uniform Resource Locator，URL）路徑為api/index.php/v1/config/application?public=true，通過該路徑訪問能夠獲取用戶名、口令等敏感信息，如圖2 所示。

圖2 CVE-2023-23752 漏洞驗證

1.3 Alibaba Nacos 訪問控制漏洞

Alibaba Nacos 訪問控制漏洞于2020 年12 月由Alibaba Nacos 官方在github 發(fā)布的issue 中披露，漏洞編號CVE-2021-43116，CVSS 漏洞評分8.8，屬于高危漏洞。該漏洞是由于未正確處理超文本傳輸（Hypertext Transfer Protocol，HTTP）協(xié)議頭的User-Agent 參數(shù)導(dǎo)致的未授權(quán)訪問漏洞，利用該漏洞攻擊者可以進(jìn)行任意操作，包括創(chuàng)建新用戶及進(jìn)行認(rèn)證登錄授權(quán)操作。

Nacos 是阿里巴巴推出的用于發(fā)現(xiàn)、配置和管理微服務(wù)的開源軟件，廣泛應(yīng)用于微服務(wù)應(yīng)用場景。其2.0.0-ALPHA.1 以下版本軟件為處理服務(wù)端到服務(wù)端的請求，將協(xié)商好的User-Agent 參數(shù)設(shè)置為“Nacos-Server”[10]。在認(rèn)證授權(quán)操作時，當(dāng)發(fā)現(xiàn)請求的User-Agent 為“Nacos-Server”時就不進(jìn)行任何認(rèn)證，導(dǎo)致了漏洞的出現(xiàn)，如圖3 所示。

圖3 CVE-2021-43116 漏洞驗證

1.4 Zabbix 身份認(rèn)證繞過漏洞

Zabbix 身份認(rèn)證繞過漏洞由Zabbix 官方于2022 年初發(fā)布，漏洞編號CVE-2022-23131，CVSS漏洞評分9.1，為高危漏洞。該漏洞屬于會話信息處理機制的問題，因此攻擊者可以偽造數(shù)據(jù)繞過認(rèn)證進(jìn)入控制臺，屬于典型的不當(dāng)?shù)臅捁芾碓斐傻脑綑?quán)訪問漏洞。

Zabbix 是一個非常流行的企業(yè)級開源監(jiān)控平臺，基于Web 界面提供分布式系統(tǒng)監(jiān)視及網(wǎng)絡(luò)監(jiān)視功能。Zabbix 將會話信息加密后保存在客戶端Cookie 中，在5.4.0～5.4.8 的版本中，數(shù)據(jù)只在驗證SessionID 時才進(jìn)行加密處理，導(dǎo)致其他Key 數(shù)據(jù)不會被加密[11]。在通過SAML SSO 單點登錄進(jìn)行認(rèn)證時，將直接讀取SAML 中用戶信息進(jìn)行認(rèn)證。如圖4 所示，由于SAML 數(shù)據(jù)未加密，客戶端可以偽造數(shù)據(jù)繞過認(rèn)證，以管理員身份進(jìn)入Zabbix 控制臺，造成遠(yuǎn)程命令執(zhí)行或敏感信息泄漏。

圖4 CVE-2023-23752 漏洞驗證

1.5 Apache ShenYu 身份驗證繞過漏洞

Apache ShenYu 身份驗證繞過漏洞于2021 年11 月由Apache 官方發(fā)布，漏洞編號CVE-2021-37580，CVSS 漏洞評分9.8，屬于高危漏洞。由于ShenyuAdminBootstrap 中JWT 的錯誤使用，攻擊者可以利用該漏洞繞過身份驗證，直接進(jìn)入目標(biāo)系統(tǒng)，屬于典型的校驗不充分造成的越權(quán)訪問漏洞。

Apache ShenYu 是一款高性能、跨語言、響應(yīng)式的開源API 網(wǎng)關(guān)，支持SpringCloud、Motan 等多種協(xié)議，兼容多種主流框架，廣泛應(yīng)用于各種微服務(wù)場景中。Apache ShenYu 采用JWT（JSON Web Token）技術(shù)進(jìn)行身份認(rèn)證。JWT 是一個開放標(biāo)準(zhǔn)，用于作為JSON 對象在各方之間傳遞安全信息。在Apache ShenYu Admin 2.3.0 至2.4.0 版本中，通過token 獲取userInfo 對象時，僅對token 進(jìn)行解析，但未進(jìn)行充分校驗，攻擊者可通過該漏洞繞過管理者身份認(rèn)證，進(jìn)而獲取管理員賬號和口令[12]，如圖5 所示。

圖5 CVE-2021-37580 漏洞驗證

2 Web 越權(quán)漏洞成因分析

通過以上對典型的Web 越權(quán)漏洞的分析可以看出，Web 越權(quán)漏洞形成的主要原因還是開發(fā)人員在設(shè)計階段對用戶權(quán)限的設(shè)計存在疏漏，當(dāng)訪問控制沒有正確設(shè)計與配置時，允許攻擊者在未授權(quán)的情況下繞過或提升系統(tǒng)或應(yīng)用程序所分配的權(quán)限。進(jìn)一步細(xì)分Web 越權(quán)漏洞的成因，主要有以下幾種。

（1）錯誤的訪問控制機制：包括不正確的用戶權(quán)限管理、違反最小化授權(quán)原則、缺少訪問控制機制，會導(dǎo)致未授權(quán)訪問或權(quán)限提升。

（2）訪問控制配置不當(dāng)：包括未更改默認(rèn)訪問控制設(shè)置、錯誤配置用戶權(quán)限、未正確配置文件或目錄權(quán)限，如Apache Superset CVE-2023-27524身份驗證繞過漏洞。

（3）不安全的對象引用：允許用戶操作Web應(yīng)用內(nèi)部對象引用，可能導(dǎo)致未授權(quán)訪問或敏感信息泄露，例如，允許用戶直接引用Web 應(yīng)用內(nèi)部的數(shù)據(jù)庫或文件。

（4）不當(dāng)?shù)臅捁芾恚喊ㄓ脩粼谧N后未使會話令牌（Token）失效，以及存在不安全的或可預(yù)測的訪問控制令牌，可能允許攻擊者劫持有效的用戶會話進(jìn)行未授權(quán)訪問，如Zabbix CVE-2022-23131 身份認(rèn)證繞過漏洞。

（5）不安全的API 訪問控制機制：包括未正確驗證API 請求者身份，未限制訪問頻率，缺少對POST、PUT 和DELETE 的訪問控制，允許不信任的來源訪問，如Joomla CVE-2023-23752 未經(jīng)授權(quán)的API 訪問控制漏洞。

（6）用戶輸入校驗不充分：不充分的輸入驗證可能允許攻擊者通過注入惡意輸入或繞過輸入過濾器來繞過訪問控制，導(dǎo)致路徑遍歷、文件包含或命令注入等漏洞。

3 Web 越權(quán)漏洞攻擊方法

3.1 Web 越權(quán)漏洞攻擊模式

Web 越權(quán)漏洞的常見攻擊模式包括垂直越權(quán)、水平越權(quán)、不安全的直接對象應(yīng)用、強行瀏覽、參數(shù)篡改。

（1）垂直越權(quán)。在這種攻擊模式中，攻擊者利用經(jīng)過認(rèn)證的用戶身份，通過操縱參數(shù)、會話令牌或用戶角色繞過訪問控制，訪問或執(zhí)行更高權(quán)限用戶的操作，達(dá)到提升系統(tǒng)中權(quán)限的意圖。

（2）水平越權(quán)。在這種攻擊模式中，攻擊者通過操縱參數(shù)或會話令牌，繞過在不同賬戶之間強制分離的訪問控制，并以合法用戶相同的權(quán)限進(jìn)入另一個賬戶。

（3）不安全的直接對象引用（Insecure Direct Object References，IDOR）。在Web 應(yīng)用中通過用戶輸入從數(shù)據(jù)庫或其他來源訪問或操作資源，而輸入沒有經(jīng)過充分地校驗或授權(quán)時，攻擊者可以未經(jīng)授權(quán)對系統(tǒng)資源進(jìn)行訪問。

（4）強行瀏覽。在這種攻擊模式中，攻擊者試圖通過手動猜測或系統(tǒng)地列舉資源URL 或路徑來訪問受限制的資源。通過利用不恰當(dāng)?shù)幕虮∪醯脑L問控制，他們可能會發(fā)現(xiàn)并訪問敏感信息或應(yīng)受保護(hù)的功能。

（5）參數(shù)篡改實現(xiàn)權(quán)限升級。在這種攻擊模式中，攻擊者操縱請求中傳遞的參數(shù)改變應(yīng)用程序的預(yù)期行為，如用戶ID、角色或權(quán)限，試圖獲得更高的權(quán)限或訪問受限制的資源。

（6）不安全的功能級授權(quán)。這種攻擊模式針對應(yīng)用程序進(jìn)行功能級授權(quán)處理時存在的漏洞。攻擊者利用特定功能或API 中薄弱或缺失的訪問控制，獲得對敏感操作或數(shù)據(jù)的未授權(quán)訪問。

3.2 Web 越權(quán)漏洞攻擊流程

Web 越權(quán)漏洞攻擊的流程一般包括偵查、用戶枚舉、識別目標(biāo)用戶、漏洞利用、未授權(quán)訪問。

（1）偵查：攻擊者收集有關(guān)目標(biāo)系統(tǒng)的信息，包括識別潛在的用戶和他們在系統(tǒng)中的角色或權(quán)限。

（2）用戶枚舉：攻擊者通過用戶名枚舉、搜索用戶名單或利用信息泄漏等技術(shù)，探測、枚舉系統(tǒng)中的有效賬戶。

（3）識別目標(biāo)用戶：攻擊者選擇一個具有較低權(quán)限的特定賬戶，并確定具有較高權(quán)限的目標(biāo)賬戶。

（4）漏洞利用：攻擊者分析、識別與利用系統(tǒng)的訪問控制機制或應(yīng)用邏輯中的繞過認(rèn)證、操縱授權(quán)檢查及錯誤配置等漏洞，實現(xiàn)權(quán)限提升。

（5）未授權(quán)訪問：一旦漏洞被成功利用，攻擊者就能以更高的權(quán)限進(jìn)入目標(biāo)賬戶，修改用戶角色、權(quán)限或會話令牌，訪問敏感數(shù)據(jù)，執(zhí)行特權(quán)功能，或破壞系統(tǒng)內(nèi)的其他資源。

4 Web 越權(quán)漏洞防范方法

通過分析Web 越權(quán)漏洞成因和常見Web 越權(quán)漏洞攻擊方法，為了防范Web 越權(quán)漏洞帶來的潛在攻擊威脅，本文提出了以下措施：

（1）用戶輸入充分校驗。通過驗證用戶輸入，防范如URL 操縱或參數(shù)篡改等可能繞過訪問控制的攻擊。

（2）安全會話管理。有狀態(tài)的會話標(biāo)識符應(yīng)在注銷后在服務(wù)器上失效；無狀態(tài)的JWT 令牌必須設(shè)定較短有效期，以便使基于令牌的攻擊時間窗口降到最小，而對于壽命較長的JWT 令牌，強烈建議遵循OAuth 標(biāo)準(zhǔn)來撤銷訪問。

（3）多層訪問控制模型。采取深層安全措施在Web 應(yīng)用程序、數(shù)據(jù)庫和操作系統(tǒng)等層面綜合實施訪問控制機制，如自主訪問控制（Discretionary Access Control，DAC）、訪問控制列表（Access Control List，ACL）、基于角色的訪問控制（Role Based Access Control，RBAC）等建立多層保護(hù)，強化對未授權(quán)訪問威脅的防御，即使攻擊者突破一個層面，也會被其他層面的防御機制阻止。

（4）適當(dāng)?shù)腻e誤處理。實施適當(dāng)?shù)腻e誤處理機制，以避免在錯誤信息中透露有關(guān)訪問控制機制或系統(tǒng)內(nèi)部的敏感信息。

（5）安全測試和審計。定期對Web 應(yīng)用進(jìn)行安全測試，如滲透測試和漏洞掃描，以發(fā)掘和檢測系統(tǒng)訪問控制中的潛在漏洞。

5 結(jié)語

越權(quán)漏洞作為Web 應(yīng)用中的一種常見的安全漏洞，利用簡單且危害巨大，一旦被利用成功，可能導(dǎo)致未授權(quán)訪問、敏感信息泄露、數(shù)據(jù)篡改、執(zhí)行惡意代碼等危害。為了防范越權(quán)漏洞攻擊，本文提出在Web 應(yīng)用設(shè)計階段引入越權(quán)漏洞防范機制，在編碼階段實施充分驗證用戶輸入、分配最小化權(quán)限、安全管理會話及建立多層訪問控制保護(hù)，在測試運行階段對重要的數(shù)據(jù)資產(chǎn)服務(wù)器進(jìn)行重點防護(hù)與安全配置檢查，并定期進(jìn)行安全測試和審計。