越权系统建设之路
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
一、产品整体架构
产品整体的流程如图所示,按照该架构图来分块讲下建设中的详情与问题
二、过滤规则
2.1 接口标签级过滤:
- 这部分目前采用的是由人工进行打标公共接口的方式。
- 根据一些匹配规则、如city、capture、login、logout、sendsms去匹配接口进行自动化检测、这里是按照收集的关键词进行末尾匹配进行打标
- 通过IAST的插桩方式实现接口的增删改查接口标签(该想法借鉴于货啦啦的越权想法)、该标签可对无效数据占比和DAST被动扫描俩个功能或产品。
2.2 过滤规则过滤
- URL过滤:这部分来弥补公共接口标签不足的方面、仍然根据特征匹配
- body过滤:这部分采取通过在相关响应体选中相关词语加入词库(该词库做用类型于发布某些敏感内容匹配的作法)
- EL表达式过滤:这部分通过el表达式来组合过滤一些特殊的误报情况、也会过滤js,png此类似的特殊后缀请求
- 白名单过滤:这部分内容主要是用于低位无须处理的漏洞重复告警问题
- 响应体无效数据占比过滤:运营过的同学都会知道,某些接口返回{"code":"true",data:""}类似于这种无意义的响应体、该功能便会基于收集此类数据,做一个占比过滤(该规则不会应用于delete\update\add类接口
- 缓存过滤:当某接口漏洞被检测过无漏洞或者有漏洞情况时在一个月内不回再对该接口扫描
三、权限接入
3.1 接入账号权限设计:个人认为越权此类系统,对于接入系统的账号,应该尽量找开发或者测试单独定制。会较高的提高相关告警处理以及准确度
后台类项目:此类检测应该属于比较好检测的场景、
高权限:即管理员。
低权限:最开始我们会找开发或者测试设计一个只有接入系统没有任何功能操作、或只有一个功能操作类的用户作为安全测试角色。
平行用户类系统一(存在项目分组、角色归于某个组场景):
高权限:即一个正常用户。
低权限:该低权限账号一定要尽量找一个单独分组的用户、即该用户的数据要单独化、即只有该用户拥有该数据、或者直接没有数据。
平行用户类系统二、(即类似电商):该类系统对于角色或者数据集设计其实没有太大的意义、就采用俩个账号即可,可以更具api文档引入接口意义,只针对高风险接口做及时的处理
3.2 权限接入配置:
权限接入设计到俩大类:1、单点登录系统,2、非单点登录系统。此时登录代码、以及账号配置应该尽量前置化。
在前端新增登录登录,在登录多次登录失败进行告警提醒、可能存在登录逻辑变更
运营方面:
四、相似度过滤:
相似度算法这里分为高低、高原、低源三个相似度、相似度算法取于Jaro-Winkler算法。在公司运营过程取大于80%相似度的。
五、yapi文档接入:
对于接口含义单独从接口中可能无法设计、此时接口yapi平台中对于接口的描述更有利于运营
六、单点登录信息:
在公司单点登录系统中,会存在一个功能返回该用户拥有的权限的接口有哪些作为辅助判断
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
文章目录