《越權漏洞讓你的資料被一覽無遺》
根據威訊通訊Verizone近年的資料外洩報告,九成以上的資安事件及資料外洩問題來自網頁應用程式(Web application)。而開放網路軟體安全計畫(Open web application security project, OWASP)每年釋出的十大網路應用程式弱點(Top 10)中,越權漏洞是最常見的安全問題。所以,今天三甲科技小編要帶你瞭解什麼是越權漏洞?與我們生活中的個人資訊又有什麼關聯呢?[1-3]
.
【越權の定義及種類】
越權(Privilege escalation)即是一用戶能執行、獲得不屬於自己權限內的操作與資訊,這類型的漏洞通常是因為系統或伺服器在開發時,未考量使用者與相對應權限功能是否相符,而產生的設計不良問題,導致使用者能操作其他人的功能。以一棟房子來比喻系統,房間則像不同種類的操作及資料庫,主人代表最高權限擁有者,所以可以任意進出主臥室、客房、及公共空間。客人則是獲得行使特定權限的人,只能進出客房及公共區域。而陌生人是不具有任何權限的,不能出現在房子的任何一個角落。當客人出現在主臥室,或是發現陌生人在任意房間時,就可以稱之為越權。
.
越權有兩種常見形式,垂直越權及水平越權。[4-9, 12]
● 垂直越權(Vertical privilege escalation)是指一使用者能透過一個帳號存取不同權限級別的功能與資料,又可分為向上越權及向下越權。好比說在一間企業,一般員工能觀看行使總經理的系統操作及內容,稱為向上越權;反之,如果總經理可以不經正當調閱途徑,而直接取得一般員工所負責業務的資訊,即是向下越權。記憶小技巧:ID不變,權限改變。
● 水平越權(Horizontal privilege escalation)是指一使用者可以透過不同的身分存取相同權限等級的操作與資訊,同樣以一企業為例,在A部門的普通員工可以存取B部門一般職員擁有的訊息或系統動作,則稱為水平越權。記憶小技巧:ID改變,權限不變。
當以上越權漏洞發生時,惡意攻擊者可以任意執行自己想要的權限功能而不被發現,甚至嫁禍於被盜用權限之人,增加事後機關單位調查案發原由的困難度。除此之外,當越權動作不屬於以上兩類時,稱作交叉越權。係指一使用者透過另一身分執行不同等級權限的系統動作,舉例來說A部門的員工使用B部門一般員工身分,進而實行B部門主管的功能。記憶小技巧:ID及權限都改變。
.
【越權漏洞の影響】
當越權漏洞存在公司網站時,駭客及有心人士便可輕易地竊取公司內部資料,像是客戶機敏資訊,而導致個資外洩問題。此外,保護個資儼然成為全球趨勢,為了維護大眾隱私並督促各家企業執行資安政策,今年五月24日有史以來最嚴厲的資料保護規則-歐盟通用資料保護法規(General data protection regulation, GDPR)已正式上線,只要您公司擁有歐盟的顧客、員工、或供應商皆適用GDPR,當企業未完善保護這些歐盟公民個資,如身分、生物特徵、線上定位資料,則會受到GDPR責罰。
如果你在平時會接到來自汽車貸款或是其他推銷廣告來電時,不妨思考自己的訊息可能從哪裡被洩漏了。如果你是企業端,想檢查自家網頁是否存在越權漏洞,可以請資安公司協助網站滲透測試,檢驗是否有安全疑慮並提出解決方案。預防勝於治療,從現在起用心守護你、我的個資!
Refs
[1] Verizon 2018 Data breach investigations report (DBIR) https://goo.gl/qf3WKi
[2] Verizon 2017 Data breach investigations report (DBIR) https://goo.gl/vRxPhx
[3] OWASP – Top 10 vulnerabilities in web applications 2018 https://goo.gl/wVrmRW
[4] 聊聊越權那些事兒 https://goo.gl/W7Ehap
[5] 淺談越權漏洞 https://goo.gl/KbcauW
[6] 淺談安全漏洞之越權 https://goo.gl/1PWhiJ
[7] 越權漏洞洩露你的隱私 – 安全小課堂第三十七期 https://goo.gl/c8eHz8
[8] 越權漏洞詳述 https://goo.gl/upgkqv
[9] Web安全測試中常見邏輯漏洞解析(實戰篇) https://goo.gl/8jxpdP
[10] 電子書: Beginning your General Data Protection Regulation (GDPR) journey
[11] 史上最研資料保護令GDPR來了! https://goo.gl/gM6AU1
[12] What is Privilege Escalation? https://goo.gl/XeQHC7