业务办理模块测试-1订单Id篡改测试-存在越权漏洞

订单ID篡改测试

测试原理和方法

在有电子交易业务的网站中,用户登录后可以下订单购买相应产品,购买成功后,用 户可以查看订单的详情。当开发人员没有考虑登录后用户间权限隔离的问题时,就会导致 平行权限绕过漏洞。攻击者只需注册一个普通账户,就可以通过篡改、遍历订单id,获得 其他用户订单详情,其中多数会包括用户的姓名、身份证、地址、电话号码等敏感隐私信 息。黑色产业链中的攻击者通常会利用此漏洞得到这些隐私信息。

测试过程

攻击者注册一个普通账户,然后篡改、遍历订单 ID,获得其他用户订单详情。测试 流程如图所示。 假设某保险网站存在平行权限绕过漏洞。 登录网站后,访问如下漏洞url,修改参数policyNo的值,可以遍历获得他人保单内 容,其中包含很多敏感隐私信息。 http://weikeu.com/SL_LES/policyDetailInfo.do?policyNo=P0000000184468123

image.png

步骤一:登录“李先生”账号(测试),查看本人保单。

步骤二:抓包修改保单号,即可越权查看他人保单内容,在返回的数据包中,包含全部在界面中被隐藏的身份证号等敏感信息。

image.png

修复建议

后台查看订单时要通过Session机制判断用户身份,做好平行权限控制,服务端需要校验相应订单是否和登录者的身份一致,如发现不一致则拒绝请求,防止平行权限绕过漏 洞泄露用户敏感个人隐私信息。