管理后臺(tái)常見(jiàn)漏洞
這里說(shuō)的管理后臺(tái)主要是指供企業(yè)內(nèi)部用戶使用的ToB類的系統(tǒng),如OA、人力資源管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、ERP系統(tǒng)等。長(zhǎng)期以來(lái),管理后臺(tái)功能臃腫,不受重視,功能由不同的團(tuán)隊(duì)開(kāi)發(fā)、使用第三方組件甚至直接是購(gòu)買的第三方公司開(kāi)發(fā)的系統(tǒng)。各種原因疊加之下導(dǎo)致它常常成為系統(tǒng)漏洞的高發(fā)區(qū)。拿JAVA來(lái)說(shuō),早期的管理后臺(tái)大多由Java + JSP開(kāi)發(fā),新的技術(shù)棧則主要使用前后端分離的方式,前端使用如VUE等前端框架,后端則主要提供Rest接口的方式與前端交互。前后端分離后對(duì)管理后臺(tái)的權(quán)限管理方式也產(chǎn)生了較大的影響。
權(quán)限問(wèn)題
一個(gè)功能完整的管理后臺(tái)通常都會(huì)有菜單、按鈕的權(quán)限管理,對(duì)某個(gè)角色或用戶,可以控制菜單或按鈕的顯示和隱藏。這些只是用戶可見(jiàn)的部分,稍有經(jīng)驗(yàn)的技術(shù)人員會(huì)直接在地址欄輸入U(xiǎn)RL的方式來(lái)繞過(guò)表面的限制。比如正常情況下A只能訪問(wèn)URLA,B只能訪問(wèn)URLB,A只需要猜測(cè)得到URLB直接輸入地址就進(jìn)入了他不該有權(quán)限看到的頁(yè)面。如果管理后臺(tái)是前后端分離的,而且URL又是純前端地址,那這種方式是防不住的,只能做好接口權(quán)限。
接口權(quán)限,是限制用戶只能調(diào)用有權(quán)限的接口。這樣可以有效避免非法的訪問(wèn)和調(diào)用,保護(hù)系統(tǒng)接口數(shù)據(jù)安全。要做到接口權(quán)限安全,通常會(huì)在每個(gè)接口調(diào)用時(shí)增加權(quán)限判斷,有經(jīng)驗(yàn)的程序員或使用注解或使用AOP配置的方式簡(jiǎn)化編碼,但還是比較麻煩。如果接口沒(méi)做權(quán)限控制或者只限制了登錄的用戶就有權(quán)限訪問(wèn)該接口,那普通用戶只需要用猜測(cè)等方法得到了敏感接口地址,就能調(diào)用管理員才能調(diào)用的接口。
比接口權(quán)限更麻煩的是數(shù)據(jù)權(quán)限,數(shù)據(jù)權(quán)限是將行級(jí)數(shù)據(jù)權(quán)限和用戶或角色進(jìn)行綁定,限制用戶只能訪問(wèn)和操作自己管轄范圍內(nèi)的數(shù)據(jù)。用戶A對(duì)接口B有訪問(wèn)權(quán)限,不代理用戶A對(duì)接口B能返回的所有數(shù)據(jù)都有權(quán)限,所以也可以說(shuō)數(shù)據(jù)權(quán)限是更細(xì)粒度的接口權(quán)限。但是一般不能通過(guò)增加多個(gè)接口的方式來(lái)實(shí)現(xiàn)數(shù)據(jù)權(quán)限,因?yàn)榻巧蛴脩籼嗔恕?shù)據(jù)權(quán)限需要在建模時(shí)就提前設(shè)計(jì),會(huì)通過(guò)增加列的方式標(biāo)識(shí)能訪問(wèn)該行數(shù)據(jù)的權(quán)限級(jí)別。如果系統(tǒng)沒(méi)做好數(shù)據(jù)權(quán)限,對(duì)攻擊者來(lái)說(shuō)最簡(jiǎn)單的利用方式就是把接口的入?yún)⒏牧恕1热缒秤脩艟哂薪M織架構(gòu)管理的權(quán)限能看到廣州分公司的組織架構(gòu),該功能調(diào)用的接口是:http://moext.com/org.jsp?root=020,他只需要改成http://moext.com/org.jsp?root=1(假設(shè)1是根組織),那就能看到全國(guó)的組織架構(gòu)了。
另外一個(gè)權(quán)限問(wèn)題高發(fā)區(qū)是“我的資料“功能,通常來(lái)說(shuō)“我的資料“只需要從session中取用戶,再按用戶查詢信息即可。但有些缺乏經(jīng)驗(yàn)的程序員估計(jì)是為了復(fù)用用戶管理查看用戶信息的功能,把用戶ID暴露給前端,由前端傳用戶ID過(guò)來(lái)查我的信息。據(jù)說(shuō)早些年就有某公司程序員在公司的OA上利用這個(gè)漏洞拿到了整個(gè)公司員工的私密信息。
富文本編輯器
富文本編輯器可以允許用戶使用不同的字體、顏色、大小和其他格式來(lái)編輯文本,同時(shí)還可以插入圖片、視頻等多種媒體類型,功能非常豐富。但是,正是由于功能豐富,我們無(wú)法像防XSS攻擊一樣過(guò)濾特殊字符,而且這些編輯器的附件上傳功能通常是固化的,我們沒(méi)辦法做過(guò)多的限制。所以富文本編輯是XSS漏洞和文件上傳漏洞的高發(fā)區(qū)。
功能豐富的查詢條件
同樣實(shí)現(xiàn)多查詢條件下的X功能管理列表,在編碼使用SQL拼接條件比用預(yù)編譯占位的方式要方便太多了,但是前者雖然方便簡(jiǎn)單了但又引入了SQL注入漏洞。筆者甚至見(jiàn)過(guò)某知名的OA系統(tǒng),它的工作流管理功能非常強(qiáng)大,但分析后發(fā)現(xiàn)管理員在前端加個(gè)審批節(jié)點(diǎn)后端是通過(guò)DDL建個(gè)臨時(shí)表的方式實(shí)現(xiàn)的。攻擊者可以輕松地修改表結(jié)構(gòu)、刪除數(shù)據(jù)等。這種既存在SQL注入漏洞又具有DDL權(quán)限的系統(tǒng)在一些舊的OA、ERP、人力資源管理系統(tǒng)上也不在少數(shù)。
