የተሰበረ የነገር ደረጃ ፈቃድ ከ ምሳሌዎች ጋር

በዚህ ልኡክ ጽሁፍ ውስጥ የተሰበረ ዕቃ ደረጃ ፈቃድ አሰጣጥ አለመሳካትን እንመረምራለን እና እንወያያለን ፡፡

የተሰበረ የነገር ደረጃ ፈቃድ ምን ማለት እንደሆነ በመግለጽ እንጀምራለን ፡፡ ከዚያ ተጓዳኝ ተጋላጭ ሁኔታዎችን በማብራራት በጥቃቱ ውስጥ እናልፋለን ፡፡

ከዚያ በኋላ የጋራ መከላከያዎችን ከመመለከታችን በፊት የተጋላጭነት አንዳንድ ሊሆኑ የሚችሉ ተጽዕኖዎችን እንመለከታለን ፡፡

የተሰበረ ነገር ደረጃ ፈቃድ ምንድነው?

በአጭሩ ይህ ዓይነቱ ጥቃት በመረጃ ላይ የተተገበረው ፈቃድ እንዳስፈላጊነቱ እየተደረገ አይደለም ማለት ነው ፡፡ ይህ መሆን በማይኖርበት ጊዜ ለሀብቶች እና ለውሂቦች መሰጠትን ያስከትላል።

የተሰበረ የነገር ደረጃ ፈቃድ ቀደም ሲል ደህንነቱ ያልተጠበቀ ቀጥተኛ የነጥብ ማጣቀሻ (IDOR) በመባል ይታወቃል ፡፡

ቃሉን ስንናገር ነገር በተሰበረ የነገር ደረጃ ፈቃድ ውስጥ እኛ የምንለው እሴት ወይም የእሴቶች ቡድን ነው ፡፡ አንድ ነገር ደራሲውን ፣ ይዘቱን እና የልጥፍ ቀንን የያዘ የማህበራዊ ሚዲያ ልጥፍ ሊሆን ይችላል ፡፡

ፈቃድ ሁሉም ተጠቃሚው እንዲደርስበት ስለፈቀደው ነው ፡፡ ስለዚህ እኛ እየተናገርን ያለነው ቀድሞውኑ ስለገባ ተጠቃሚ ነው ፡፡

አንድ ተጠቃሚ ለኤፒአይ ጥያቄ ሲያቀርብ ጥያቄው ነገሮችን ለመድረስ ይጠቅማል ፡፡ ስለ ፈቃድ አንድ ውሳኔ መደረግ ያለበት ይህ ነው ፡፡ ተጠቃሚው መዳረሻ እንዲሰጣቸው የተሰጣቸውን ነገሮች ብቻ መድረስ መቻል አለበት። ይህ በትክክል የሚሰራ ፈቃድ ነው።

ፈቃድ ሲሰበር ተጠቃሚዎች ሊፈቀድላቸው የማይገባቸውን መረጃዎች እና ሀብቶች እንዲያገኙ ይፈቀድላቸዋል።

ኤፒአይ በእቃዎች ላይ የተለያዩ ክዋኔዎችን ያመቻቻል ፡፡ ነገሮችን ማግኘት ፣ መፍጠር ፣ ማዘመን አልፎ ተርፎም መሰረዝ እንችላለን ፡፡

ከአንድ ነገር ጋር መገናኘት የአንድ ኤፒአይ አጠቃላይ ነጥብ ነው ፣ ስለሆነም በእነዚያ ነገሮች ዙሪያ ያለው የፍቃድ መቆጣጠሪያዎች ከተሰበሩ እኛ የተሰበረ የነገር ደረጃ ተደራሽነት ተጋላጭነት አለብን ፡፡

የተሰበረ ዕቃ ደረጃ ተደራሽነት ተጋላጭነትን መጠቀም

ከተገኘ በኋላ ይህንን ተጋላጭነት መጠቀሙ በአጠቃላይ ቀላል ነው ፡፡ አጥቂ ማድረግ ያለበት ነገር ቢኖር በጥያቄ ውስጥ ማንነትን መለወጫ መለወጥ ነው እና ሊፈቀድላቸው የማይገባቸውን ነገሮች መዳረሻ አግኝተዋል ፡፡

እስቲ በአንድ ምሳሌ ውስጥ እንመልከት.

እዚህ ኤ.ፒ.አይ. ለመደወል የሚያገለግል ዩ.አር.ኤል አለን:

https://myemail.com/messages/12345

ይህ የኤ.ፒ.አይ. ጥሪ የተጠቃሚውን የግል መልዕክቶች ለማምጣት ያገለግላል። ጥቅም ላይ የሚውለው ሀብት ነው መልዕክቶች .

መልዕክቱ በተሰበረው የነገር ደረጃ ፈቃድ ውስጥ የምንጠቅሰው ነገር ነው ፡፡ ግምቱ የግል መልእክቶች ሊነበቡት በታቀደው ተቀባዩ ብቻ ነው ፡፡

በመቀጠልም የመልእክቱ መታወቂያ አለን 12345. ይህ ለአጥቂ አስፈላጊ አካል ነው ፡፡

መታወቂያው የትኛው ሪኮርድ መመለስ እንዳለበት ለአገልግሎቱ ይናገራል ፡፡ ኤፒአይ ያንን መዝገብ ከመረጃ ማከማቻ ያገኝና በምላሹ ይመልሰዋል።

መታወቂያውን ከ 12345 ከቀየርነው አሁን ምን ይከሰታል ወደ 12346? ለምሳሌ

https://myemail.com/messages/12346

መልዕክቱ ከ id 12346 ጋር ከሆነ ለተጠቃሚችን የታሰበ ነበር ፣ እሱን ለማግኘት መቻል አለብን ፡፡

ግን መልዕክቱ የሌላ ተጠቃሚ ቢሆን ኖሮ ኤፒአዩ በጭራሽ መመለስ የለበትም። መልዕክቱን ሰርስሮ ማውጣት ከቻልን የተሰባበረ ደረጃ የነፃ ፈቃድ ውድቀት አለብን ማለት ነው።

ሌላ ምሳሌ ሀብትን ለማዘመን የ POST ጥያቄን መላክ ነው ፡፡ በ JSON ክፍያ ጭነት ውስጥ ባለው መታወቂያ ዙሪያ መጫወት እንችላለን-

{
'userId': '12345678',
'oldPassword': 'My_0ld_Pa$$',
'newPassword': '$uperS3CurE' }

ማንኛውንም አቅም ለማስቀመጥ ከፈለግን userId በጥያቄው ውስጥ እና የሌላ ተጠቃሚን ዝርዝሮች ማዘመን ከቻሉ ታዲያ አንድ ትልቅ ችግር አለብን ፡፡

ቴክኒካዊ ተጽዕኖ

ተጋላጭነቱ እንዳለ ካወቅን በኋላ በሁሉም ዓይነት መንገዶች ልንጠቀምበት እንችላለን ፡፡ ቀደም ሲል እንደተጠቀሰው በኤ.ፒ.አይ. ላይ የተለያዩ የኤችቲቲፒ ዘዴዎችን መጠቀም እንችላለን ፡፡ መልዕክቶችን ለማዘመን ወይም ለመሰረዝ እንኳ መታወቂያውን መጠቀም እንችላለን!

በሁሉም ኢድስ ውስጥ ማመጣጠን ከቻልን ምን ይሆናል? የተከማቸውን እያንዳንዱን መልእክት መሰረዝ እንችል ይሆናል ፡፡ ያ ትልቅ ተጽዕኖ ነው።

የጋራ ተጋላጭነት

ይህ በጣም የተለመደ ተጋላጭነት ነው ፡፡ ቀደም ሲል እንደተጠቀሰው ኤፒአይዎች ነገሮችን ለመድረስ ያገለግላሉ እናም በአብዛኛዎቹ ጉዳዮች ሀብቶችን ለመለየት በጥያቄው ውስጥ አይድስን እንጠቀማለን ፡፡ ጥያቄው ለዚያ ተደራሽነት የፈቃድ ፍተሻዎች አሉ?

በኮዱ ውስጥ የተሰበረ የነገር ደረጃ ፈቃድ ተጋላጭነቶች እንዲኖሩን በዋናነት ሁለት ምክንያቶች አሉ ፡፡

የመጀመሪያው የደህንነት ቁጥጥር በቀላሉ አልተተገበረም ፡፡ በጥያቄዎች ላይ የፍቃድ ፍተሻዎችን ለማድረግ ኮዱ አልተፃፈም ፡፡

ሁለተኛው ምክንያት የሰው ስህተት ነው ፡፡ ሰዎች ስህተት ይሰራሉ ​​፡፡ ጥሩ ምሳሌ ባልሆኑ መረጃዎች ላይ ሁለቱንም ስሜታዊነት በሚይዝ ኤፒአይ ውስጥ ነው ፡፡ አንዳንድ ጥያቄዎች የፈቃድ ቼኮች ሊኖራቸው ይገባል እና ሌሎች ደግሞ ሊኖረው አይገባም። ስለዚህ ኮድ በሚጽፉበት ጊዜ ቼክን ማጣት ቀላል ሊሆን ይችላል ፡፡

እንዴት እንደሚመረመር

አውቶማቲክ መሳሪያዎች ቢያንስ ትንሽ የአእምሮ ኃይልን የመያዝ አዝማሚያ ስላላቸው እንደዚህ ዓይነቱን ተጋላጭነት በተለምዶ አያገኙም ፡፡

ለሰው ልጅ ይህንን ተጋላጭነት ለመለየት በአንፃራዊነት ቀላል ነው። እኛ ማድረግ ያለብን ነገሮች ሰርስሮ ለማውጣት ጥቅም ላይ የሚውለውን መታወቂያ መፈለግ ነው ፡፡

መለያው በኡርል ውስጥ ፣ በጥያቄው አካል ውስጥ ወይም በጭንቅላቱ ውስጥ ሊሆን እንደሚችል ልብ ይበሉ ፡፡

ደግሞም ተጋላጭነት አለመኖሩን ለማወቅ ተመልሶ የሚመጣውን ምላሽ መተንተን እና መተርጎም አለብን ፡፡

መሳሪያዎች

የኤችቲቲቲፒ ጥያቄዎችን እና ምላሾችን የሚመረምር ማንኛውንም መሳሪያ መጠቀም እንችላለን ፡፡ ከእነዚህ መካከል አንዳንዶቹ-

• የጉግል ገንቢ መሣሪያዎች
• ቡርፕ Suite
• የፖስታ ሰው

Burp Suite እንዲሁ የተወሰኑ ጥያቄዎችን በራስ-ሰር ለማንቀሳቀስ ሊያገለግል ይችላል።

ከተሰበረ የነገር ደረጃ ፈቃድ መስጠትን መከላከል

እዚህ ሁለት መከላከያዎችን አግኝተናል ፡፡

የመጀመሪያው መከላከያ መጠቀም ነው እንደ GUIDs ያሉ የማይታወቁ አይዶች . በኮዱ ውስጥ ተከታታይ ቁጥሮች ስንጠቀም ፣ ለምሳሌ. 12345 ፣ ይህ ማለት አይድስ በጣም ይተነብያል ማለት ነው ፡፡ አጥቂ ዕቃዎችን ለማግኘት ቁጥሮችን ለማለፍ ብዙ ጥረት አያስፈልገውም።

የ GUID ምሳሌ

d3b773e6-3b44-4f5f-9813-c39844719fc4

GUIDs ውስብስብ እና ለመገመት በጣም ከባድ ናቸው እና ቅደም ተከተል አይደሉም።

የሚቀጥለው መከላከያ በእውነቱ የተወሰነ ኮድ መኖር ነው ማረጋገጫ ማረጋገጥ . ይህ ቼክ ብዙውን ጊዜ ዝም ብሎ አይከሰትም ፡፡

ፈቃድ መፈተሽ አንድ ተጠቃሚ ጥቅም ላይ በሚውለው መታወቂያ ውስጥ ኤፒአይውን በሚያቀርብበት በማንኛውም ጊዜ መሆን አለበት ፡፡ እዚህ ላይ ዋናው መርሆ ተጠቃሚው ለኤፒአይ የሚሰጠውን ውሂብ በጭራሽ ማመን የለብንም ፡፡

የተጠየቀው መታወቂያ ተጠቃሚው እቃውን እንዲያገኝ የተፈቀደለት መሆኑን ማረጋገጥ ያስፈልጋል ፡፡

እነዚህ ቼኮች በሶፍትዌር ልማት ወቅት ቀላል የኮድ ግምገማዎች እና / ወይም በእድገቱ በሙሉ የፈቃድ አለመሳካቶችን የሚፈትሹ ራስ-ሰር ቼኮች ሊሆኑ ይችላሉ ፡፡

ማጠቃለያ

የተሰበረ ነገር ደረጃ ፈቃድ መስጠትን እንዳየነው የተለመደ ተጋላጭነት እና በቀላሉ ለመለየት እና ለማጥቃት ቀላል ነው ፡፡ ተጽዕኖዎች በጣም ትልቅ ናቸው ፡፡

የዚህ ተጋላጭነት ትክክለኛ ምንጭ በደንበኛው ወደ ኤፒአይ የሚተላለፍ የታመነ ውሂብ ነው ፡፡

የመከላከያ አንድ ትልቅ ክፍል በዚያ መረጃ ላይ እምነት እንዳለን ማረጋገጥ ነው ፡፡ ስለዚህ የፈቃድ ፍተሻዎች በቦታው መኖራቸውን ማረጋገጥ አለብን ፡፡