本周我们将讨论Zip库的默认行为。如果你是一个应用程序的开发者，你很可能曾经使用过这个方法。在互联网上下载的大多数资源都是zip格式的，这是有道理的；压缩后的数据更小，所以下载速度更快，消耗的带宽更少。

如果你想要一些更具体的例子：游戏的纹理，用于键盘自动完成的语言包，......。许多资源不是自动与应用程序捆绑在一起的，而是后来下载的。

但在使用这一功能时要谨慎，压缩文件中的文件名可能包含路径穿越信息。当提取时，这将导致在预定目录之外创建文件。这样做的目的往往是为了覆盖现有的文件。

假设我们有一个包含以下两个文件的压缩档案。

file1
.../file2

当这个归档文件被解压时，file1被解压在我们期望的地方，即解压目录下。然而，file2被写在比我们要求zip库解压的地方高一个目录。

所以要小心，如果你的zip库没有注意正确处理这种情况，它将允许攻击者在系统中写入一个任意文件。总是检查你的库是否安全，这个经验法则对任何库都有效，但特别是你知道要检查你的zip库对这些类型的文件的默认行为。

让我们演示一下在Android中不正确处理这种情况的后果。在Android中，使用了Java Zip库（java.util.zip），该库默认允许上述的路径遍历。

安卓的Dalvik可执行格式（.dex）对单个文件所能拥有的类的数量有限制。需要更多类的应用程序可以利用MultiDex支持库，该库从API级别21（Android 5.0 Lollipop）开始添加。这个库将二级.dex文件保存在应用程序的数据目录中，这个目录可由应用程序用户写入，当需要.dex文件时，这些代码将被加载和执行。

这意味着攻击者可以通过使用恶意的压缩包覆盖.dex文件来修改它，更糟糕的是，这个文件将被加载和执行，导致远程代码执行漏洞。这不仅仅是一个理论上的例子，而是已经在应用程序My Talking Tom上演示过了，该应用程序在应用程序商店的下载量超过1亿次。以下是在黑帽大会上展示的该漏洞的视频。

经常检查你的zip库的行为，这样你就能意识到它的不安全因素。如果你不能在你的zip库中禁用路径遍历，请确保在解压前验证每个条目的名称。名称应该是规范化的，并且产生的路径应该是在你想解压的目录中。当我们在做这件事的时候，你还应该检查解压缩文件的总大小，以防止压缩炸弹，但这将是另一个星期的文章。

如果你想玩一些关于路径穿越的挑战，或者想测试你的安全编码技能，请查看我们的平台。

下次见，请记住，无论是否有密码，都要有安全的密码。

- 我们可以向一个名字前缀为任意数量的".../"的压缩文件注入
- 如果压缩库不注意正确处理这种情况，它将允许我们在预定的提取目录之外写入
- 如果压缩文件是不可信任的，这给攻击者一个任意写入的漏洞。

https://www.blackhat.com/docs/ldn-15/materials/london-15-Welton-Abusing-Android-Apps-And-Gaining-Remote-Code-Execution.pdf

可扩展标记语言（XML）是一种标记语言，用于对文件进行编码，其格式既便于机器处理又便于人类阅读。然而，这种常用的格式包括多种安全缺陷。在这篇与XML有关的第一篇博文中，我将解释通过使用模式安全处理XML文档的基本知识。

OWASP将与XML和XML模式有关的不同漏洞分为两类。

畸形的XML文件

畸形的XML文档是不遵循W3C XML规范的文档。导致畸形文档的一些例子是删除了一个结尾标签，改变了不同元素的顺序或使用了禁止的字符。所有这些错误都应该导致一个致命的错误，并且该文档不应该进行任何额外的处理。

为了避免由畸形文档引起的漏洞，你应该使用一个经过良好测试的XML解析器，该解析器遵循W3C规范，处理畸形文档的时间不会明显延长。

无效的XML文件

无效的XML文档形成得很好，但包含了意想不到的值。在这里，攻击者可能会利用那些没有正确定义XML模式的应用程序来识别文档是否有效。下面你可以找到一个简单的例子，如果不正确验证，可能会产生意想不到的后果。

一个网络商店，以XML数据存储其交易。

   <purchase></purchase>
     <id>123</id>
     <price>200</price>
   

And the user only has control over the <id> value. It is then possible, without the right counter measures, for an attacker to input something like this:</id>

   <purchase></purchase>
     <id>123</id>
     <price>0</price>
     <id></id>
     <price>200</price>
   

If the parser that processes this document only reads the first instance of the <id> and <price> tags this will lead to unwanted results. </price></id>

也有可能是模式的限制性不够，或者其他输入验证不充分，所以负数、特殊小数（如NaN或Infinity）或过大的数值可以被输入到不期望的地方，导致类似的非预期行为。

避免与无效的XML文档有关的漏洞应该通过定义精确和限制性的XML Schema来完成，以避免数据验证不当的问题。

下一篇博文我们将讨论一些针对XML文档的更高级的攻击，如Jumbo Payloads和令人恐惧的OWASP十大排名第四的XXE。

同时，你可以在我们的门户网站上磨练或挑战你在XML输入验证方面的技能。

XML和XML模式的规范包括多种安全缺陷。同时，这些规范提供了保护XML应用所需的工具。即使我们使用XML模式来定义XML文档的安全性，它们也可以被用来进行各种攻击：文件检索、服务器端请求伪造、端口扫描或暴力强迫。

https://www.owasp.org/index.php/XML_Security_Cheat_Sheet

记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上，但与未能阻止无效的登录尝试最相关。

这是一个危险的漏洞，因为它意味着网络安全团队不会对攻击作出反应，因为他们不知道这些攻击。这给了攻击者一个很大的优势，让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上，如果没有适当的记录和监控，就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。

准备好现在就用挑战来测试你的技能了吗？看看这个吧。

攻击者如何利用不充分的记录和监控？

如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能，任何API都容易出现日志和监控不足的问题。

一个有趣的例子是，如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验，他们可以发现，在他们被锁定在系统之外，以及在网络安全人员被通知之前，需要三次失败的登录尝试。

有了这些信息，他们就可以编写一个脚本，使用 "123456 "或 "password "等常见的密码，尝试以被入侵名单上的每个名字登录，而不是试图对单个账户进行暴力攻击。诀窍是，他们只尝试每个用户名一次，或者两次，保持在锁定和警报的阈值以下。如果他们运气好的话，他们至少会在一开始就泄露几个密码。之后，他们只需等待一天，让登录计数器复位，然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么，攻击者可以多次通过列表，并最终妥协大多数账户的弱密码。

这种情况发生在OWASP提供的例子中，一个视频共享平台被攻击，利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前，它不知道这种攻击正在发生。最终，他们在API日志中发现了证据，不得不向所有的用户发出强制更改密码的通知，并向监管部门报告了这次攻击。  

消除日志和监控不足的漏洞

自动化和持续监控可以帮助结束这一漏洞。首先，所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式，如STIX和TAXII，这样它就可以被纳入安全信息和事件管理（SIEM）系统，该系统经过培训，无论使用何种阈值，都可以寻找到攻击。

你还应该保护你的日志文件。将它们视为敏感信息，保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件，也要对它们进行加密。

最后，创建自定义仪表板和警报，以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间，你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。

。 Secure Code Warrior博客页面，了解有关这一漏洞的更多见解，以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台，以保持你所有的网络安全技能得到磨练和更新。

自2015年以来，我们一直在用一种主动、积极的方法来吸引世界各地的开发人员，帮助他们建立技能来保护他们的代码，减少返工和补救，并希望将安全团队视为有趣的警察之外的东西。

我们仍然致力于与开发人员并肩作战，确保整个银河系的代码安全，但现在是时候摇身一变，把我们身经百战、具有安全意识的开发人员带到下一个层次。

我们很高兴地宣布在Secure Code Warrior 平台上发布一个全新的功能：Missions 。这个全新的挑战类别是开发人员安全培训的下一阶段，使用户从回忆安全知识，到在真实世界的模拟环境中应用它。这种脚手架式的微观学习方法建立了强大的安全编码技能，与工作相关，并且比（垂直）在工作日的背景中观看无尽的培训视频更有娱乐性。

我们第一个可玩的公共任务是模拟GitHub Unicode漏洞。它可能看起来很简单，但这是一个非常聪明的漏洞，剖析起来很有趣。安全研究员0xsha做了一个全面的案例研究，说明这个同样的漏洞如何通过案例转换的方式来利用Django，同时还揭示了该漏洞的行为在不同的编程语言之间如何变化。关于这个安全问题，还有很多东西需要发现，而我们的任务就是一个很好的开始。

GitHub的迎面（案例映射）碰撞

在2019年11月28日的一篇博文中，安全研究小组Wisdom报告了他们在GitHub上发现的一个安全漏洞。他们概述了他们是如何利用Unicode中的案例映射碰撞来触发密码重置电子邮件传递到错误的电子邮件地址（或者如果我们像攻击者一样思考，威胁行为者选择的电子邮件地址）。

虽然安全漏洞从来都不是什么好消息，但如果安全研究人员在代码库中发现了潜在的可利用的错误，他们确实提供了一些怜悯，更不用说避免灾难的机会。他们的博客和报告往往是很好的读物，了解一个新的漏洞和它是如何工作的，是一种很酷的事情。

为了提高安全编码的能力，不仅要找到常见的漏洞（尤其是任何很酷的新漏洞--我们都知道，恶意的威胁者会寻找肥沃的土地，用这些新技术挖掘一些数据），还要有安全的实践环境，了解如何利用这些漏洞，这是非常强大的。

所以，让我们来做这件事。继续阅读，发现Unicode中的Case Mapping Collision是如何被利用的，它的实时性如何，以及你如何以安全研究员的心态，自己去尝试。

准备好现在就进行一次案例映射碰撞了吗？快来吧。

Unicode。复杂、可无止境地定制，而且不仅仅是表情符号

"Unicode "可能不在普通人的词典中，但很有可能大多数人每天都以某种形式使用它。如果你使用过网络浏览器、任何微软软件，或者发送过表情符号，那么你就已经近距离接触了Unicode。它是对世界上大多数书写系统的文本进行统一编码和处理的标准，确保每个人都能使用单一的字符集（以数字方式）表达自己。目前，有超过143,000个字符，所以无论你是使用冰岛语，还是土耳其的无点字，或者任何介于两者之间的字符，你都会被覆盖。

由于Unicode的字符集数量庞大，在许多情况下需要一种将字符转换为另一个 "等价 "字符的方法。例如，如果你将一个带有无点的Unicode字符串转换为ASCII，它应该简单地变成一个 "i"，这似乎是合理的，对吗？

大量的字符编码带来了巨大的潜在灾难

Unicode中的案例映射碰撞是一个商业逻辑漏洞，其核心是可以导致未受2FA保护的账户被接管。为了说明这个漏洞，让我们看看这个漏洞在一个真实代码片段中的例子。

app.post(/api/resetPassword, function (req, res) {
  var email = req.body.email;
  db.get(SELECT rowid AS id, email FROM users WHERE email = ?, [email.toUpperCase()],
      (err, user) => {
          if (err) {
              console.error(err.message);
              res.status(400).send();
          } else {
              generateTemporaryPassword((tempPassword) => {
                  accountRepository.resetPassword(user.id, tempPassword, () => {
                      messenger.sendPasswordResetEmail(email, tempPassword);
                      res.status(204).send();
                  });
              });
          }
      });
});

其逻辑是这样的。

1. 它接受用户提供的电子邮件地址，并将其大写以保持一致性。
2. 它检查电子邮件地址是否已经存在于数据库中。
3. 如果是这样，那么它将设置一个新的临时密码（顺便说一下，这不是最佳做法。相反，应使用带有令牌的链接，以实现密码重置)
4. 然后它向步骤1中获取的地址发送一封电子邮件，其中包含临时密码（这是很糟糕的做法，有很多原因。 呀）。

让我们看看原博文中提供的例子会发生什么，一个用户请求重置密码的电子邮件John@GıtHub.com（注意土耳其的无点i）。

1. 该逻辑将John@Gıthub.com 转换为JOHN@GITHUB.COM
2. 它在数据库中查找，并找到用户JOHN@GITHUB.COM。
3. 它生成了一个新的密码，并将其发送到John@Gıthub.com。

请注意，这个过程最后会把高度敏感的电子邮件发送到错误的电子邮件地址。哎呀!

如何赶走这个Unicode恶魔

这一特定漏洞的有趣之处在于，有多种因素使其变得脆弱。

1. 实际的Unicode铸造行为
2. 确定使用电子邮件地址的逻辑，即用户提供的电子邮件地址，而不是数据库中已经存在的电子邮件地址。

从理论上讲，你可以通过两种方式来解决这个具体问题，正如《智慧》的博文中所指出的。

1. 用Punycode转换将电子邮件转换成ASCII码
2. 使用数据库中的电子邮件地址，而不是由用户提供的地址

当涉及到加固软件时，一个伟大的想法是不留任何机会，采用尽可能多的防御层到位。据我们所知，可能还有其他方法可以利用这种编码--只是我们还不知道。任何你能做到的减少风险和关闭可能被攻击者打开的窗口都是有价值的。

准备好自己尝试一下了吗？

大多数开发人员都知道，泄露的数据对企业不利。然而，有安全意识的工程师是应对日益增长的漏洞、违规行为和网络安全困境的有力解药。

是时候把你的安全编码和意识技能提高到新的水平了。在一个身临其境的安全模拟中体验这个GitHub漏洞，你可以看到不良代码在前端和后端背景下的影响。攻击者有优势，所以让我们平分秋色，以白帽反击的方式应用真正的技能。

虽然这个名单上的大多数漏洞都是针对API的，但禁用安全功能/启用调试功能/不当权限问题是一个可以在任何地方发生的问题。它在API中可能更普遍一些，但攻击者通常会试图在网络中的任何地方找到未修补的缺陷和未受保护的文件或目录。遇到一个启用了调试功能或禁用了安全功能的API，就会使他们的邪恶工作更容易一些。更糟糕的是，自动工具可以检测和利用安全错误配置，所以如果你的环境中有这些配置，它们很有可能被利用，这就是为什么这个漏洞被列入OWASP的危险API缺陷名单。

在我们进入乐趣之前，看看你是否能解决这个调试难题。

被禁用的安全功能/启用的调试功能/不恰当的权限缺陷是如何潜入API的？

为了了解这个多维的API缺陷是如何被添加到网络中的，我们必须把它分解成各个组成部分。让我们从启用调试功能的问题开始。调试是一个有用的工具，它可以帮助开发者弄清楚为什么应用程序不能正确执行或出现错误。启用调试功能后，错误和异常会生成详细的错误页面，这样开发人员就可以看到出错的地方并解决问题。当一个应用程序仍在开发中时，将其激活是完全可以的。

然而，大多数框架都有关于在生产环境中运行调试模式的警告，这是有原因的，可能就在激活调试的代码中。比如说。

# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = True

在这个例子中，调试已经被激活。当出现异常时，Django应用程序将生成详细的错误页面。如果这是在生产环境中进行的，那么对手就可以接触到这些错误页面，其中包括关于环境的元数据信息。尽管大多数框架默认关闭了调试功能，但如果在漫长的开发过程中激活了调试功能，很容易忘记将其重新关闭。那么当应用程序转移到生产环境时，它就为攻击者提供了大量关于如何破坏应用程序，甚至是整个服务器或网络的信息。

虽然启用调试模式大多是一个独立的问题，但不适当的权限和禁用的安全功能漏洞往往会一起发挥作用。例如，在OWASP提供的一个真实场景中，一个攻击者使用搜索引擎找到了一个意外连接到互联网的数据库。因为这个流行的数据库管理系统使用的是其默认配置，认证被禁用。因此，通过结合不当的权限和禁用的安全功能漏洞，攻击者获得了对数百万条记录的访问权，其中包括PII、个人喜好和认证数据。

消除禁用的安全功能/启用的调试功能/不当的权限漏洞

在消除这个漏洞方面，你可能需要双管齐下。要消除问题的启用调试部分，只需在开发过程中增加一个检查，以确保在将API或应用程序转移到生产环境之前禁用调试。从我们的例子来看，这样做的正确命令如下。

# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = False

现在，Django应用程序的调试功能被禁用，DEBUG标志被配置为False。没有错误页面会被生成以应对错误。如果对手仍然获得了对错误页面的访问，它们不会包含任何有用的元数据，也不会对应用程序构成风险。

消除被禁用的安全功能和不适当的权限漏洞要困难一些，因为它们可能包含了广泛的具体漏洞。阻止它们的最好方法是开发一个标准的、可重复的流程，以便快速、方便地将锁定的资产部署到生产环境中。

即使如此，你也应该创建一个流程，对协调文件、API组件和云服务（如Amazon S3桶的权限）进行不断的审查和更新。这种审查也应该随着时间的推移对整个环境的安全设置的整体有效性进行评级，以确保组织一直在改进其API安全。

请查看 Secure Code Warrior博客页面，了解有关这一漏洞的更多见解，以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试一下 Secure Code Warrior 培训平台的演示，以保持你所有网络安全技能的磨练和更新。

大量赋值漏洞的诞生是因为许多现代框架鼓励开发者使用自动将来自客户端的输入绑定到代码变量和内部对象的函数。这样做是为了简化代码，加快操作速度。

攻击者可以使用这种方法来强制改变客户端不应该更新的对象属性。通常情况下，这将导致特定的业务问题，如用户给自己增加管理权限，而不是使网站瘫痪或窃取企业机密。攻击者还必须对对象和他们所利用的应用程序的业务逻辑之间的关系有一些了解。

然而，这一切都不能使大量分配的漏洞在聪明的恶意用户手中变得不那么危险。

在我们推出完整的指南之前，先玩玩我们的游戏化挑战，看看你的表现如何。

攻击者如何利用大规模分配漏洞？

OWASP提出的方案（我们稍作了修改），假设一个共享汽车的应用程序，包括使用大规模分配绑定到代码中对象的不同属性。这些属性包括用户可以改变的与权限有关的属性和只应由应用程序内部设置的与流程有关的属性。两者都使用大规模赋值将属性绑定到对象上。

在这种情况下，共享汽车应用允许用户更新他们的资料，这在许多面向用户的应用中是很常见的。这是用一个发送到PUT的API调用完成的，它返回以下JSON对象。

{"user_name":"SneakySnake", "age":17, "is_admin":false}

因为攻击者，即本例中的SneakySnake先生，已经弄清了属性和对象之间的关系，他可以重新发送他的原始请求，用以下字符串更新他的资料。

{"user_name":"SneakySnake","age":24,, "is_admin":true}

由于端点容易受到大规模分配的影响，它接受新的输入为有效。我们的黑客不仅在他的个人资料中增加了几年，而且还为自己分配了管理权限。

消除大规模分配的漏洞

尽管在一些框架中使用质量赋值功能可能很方便，但如果你想保持你的API安全，你应该避免这样做。相反，解析请求值，而不是将它们直接绑定到一个对象。你也可以使用一个缩小的数据传输对象，这将提供几乎与直接绑定到对象本身相同的便利，只是没有相关的风险。

作为额外的预防措施，像上面例子中的管理权限这样的敏感属性可以被拒绝，这样它们就永远不会被服务器在API调用中接受。一个更好的主意可能是默认拒绝每一个属性，然后允许特定的、非敏感的属性，你希望用户能够更新或改变。做任何这些事情都可以帮助锁定API，并从你的环境中消除大量分配的漏洞。

请查看 Secure Code Warrior博客页面，了解有关这一漏洞的更多见解，以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试一下 Secure Code Warrior 培训平台的演示，以保持你所有网络安全技能的磨练和更新。

通过我们新的GitHub Action，在GitHub代码扫描工作流程中直接添加以开发者为中心的培训到行业标准的SARIF文件。

9月30日，GitHub正式宣布GitHub代码扫描的全面启用。GitHub代码扫描是一种开发者优先、GitHub原生的方法，可以在安全漏洞进入生产之前轻松找到它们。

代码扫描与GitHub Actions（或现有的CI/CD环境）集成，为开发团队提供最大的灵活性。它在代码创建时进行扫描，在拉动请求中显示可操作的安全审查，并将安全作为GitHub工作流的一部分进行自动化。

为开发者提供了一个无缝的安全方法。

基于开放的SARIF（静态分析结果交换格式）标准，代码扫描的设计是为了适应组织不断增长的需求，因此他们可以在同一GitHub原生体验中包括开源和商业静态应用安全测试（SAST）解决方案。

第三方代码扫描工具可以通过GitHub Action或GitHub App根据GitHub本身的事件（如拉动请求）启动。扫描结果会以SARIF格式显示，并上传到GitHub安全警报标签。警报会被汇总到每个工具上，GitHub可以追踪并抑制重复的警报。这使得开发者可以在GitHub上的任何项目中使用他们选择的工具，所有这些都在GitHub的原生体验中。很简单，它突破了一些传统安全方法的干扰，并且尊重了开发者的工作流程。

昨天，GitHub在其博文《第三方代码扫描工具》中把Secure Code Warrior 作为唯一以开发者为中心的培训供应商。静态分析和开发人员安全培训，与Synk、Checkmarx、Fortify On Demand、Synopsis和Veracode一起。

虽然许多SCA/SAST解决方案为每个被发现的漏洞提供了大量的细节，以及对已发布的建议和相关CWE的参考，但不是每个开发者都是安全专家，也不应该期望他们是安全专家。实用的、可用的建议和工具是实现可操作的意识的关键。

情境式微学习。

开发人员对漏洞掌握的情况越多，他们就越能了解风险，优先修复最紧迫的问题，并最终从一开始就预防这些问题。这就是Secure Code Warrior 的意义所在。我们的使命是通过有趣的、有吸引力的和特定框架的培训，使开发人员从一开始就能写出安全的代码，帮助他们以安全的心态思考和编码，以实现安全合规性、一致性、质量和开发速度的快速提高。

GitHub代码扫描集成

Secure Code Warrior 已经建立了一个GitHub动作，为GitHub代码扫描带来上下文学习。这意味着开发者可以使用像Snyk容器行动这样的第三方行动来寻找漏洞，然后用针对CWE的、高度相关的学习来增加输出。

Secure Code Warrior GitHub行动处理行业标准的SARIF文件，并根据SARIF规则对象中的CWE引用附加上下文学习。这使开发和安全团队不仅能够发现漏洞，还能用可操作的知识丰富支持的SAST工具报告，帮助他们防止漏洞再次发生。

准备好自己尝试一下了吗？

在这里直接从GitHub市场免费获得该动作。
在这里了解更多关于Secure Code Warrior GitHub行动的信息。

本系列博客将重点讨论一些最糟糕的漏洞，因为它们与应用编程接口（API）有关。这些漏洞非常糟糕，以至于它们进入了开放网络应用安全项目（OWASP）的顶级API漏洞名单。鉴于API对现代计算基础设施的重要性，这些都是关键问题，你需要不惜一切代价阻止你的应用程序和程序出现。

缺失的功能级访问控制漏洞允许用户执行应该被限制的功能，或者让他们访问应该被保护的资源。通常情况下，功能和资源会在代码中或通过配置设置直接保护，但要正确做到这一点并不容易。实施适当的检查是很困难的，因为现代应用程序通常包含许多类型的角色和组，加上复杂的用户层次结构。

但首先，为什么不跳进去玩玩我们的游戏化挑战，看看你在驾驭这类棘手的错误方面处于什么位置？

让我们更深入地了解一下。

API特别容易受到这种缺陷的影响，因为它们是高度结构化的。了解代码的攻击者可以对如何实现应该限制他们的命令做出有根据的猜测。这也是函数/资源级访问控制漏洞进入OWASP前十名的主要原因之一。

攻击者如何利用功能级访问控制漏洞？

怀疑功能或资源没有得到适当保护的攻击者必须首先获得对他们想要攻击的系统的访问权。为了利用这个漏洞，他们必须有权限向端点发送合法的API调用。也许有一个低级别的访客访问功能，或者有一些匿名加入的方式，作为应用程序功能的一部分。一旦建立了这种访问权限，他们就可以开始改变他们合法的API调用中的命令。例如，他们可能把GET换成PUT，或者把URL中的USERS字符串改为ADMINS。同样，由于API是结构化的，很容易猜到哪些命令是允许的，以及在字符串中的位置。

OWASP给出了一个关于这个漏洞的例子，即为允许新用户加入一个网站而设置的注册程序。它可能会使用一个API GET调用，就像这样。

GET /api/invites/{invite_guid}。

恶意用户会得到一个包含邀请细节的JSON，包括用户的角色和电子邮件。然后，他们可以将GET改为POST，还可以通过以下API调用将他们的邀请从用户提升为管理员。

POST /api/invites/new
{"email":"shadyguy@targetedsystem.com","role":"admin"}

只有管理员才能发送POST命令，但如果他们没有得到适当的保护，API将接受他们为合法的，并执行攻击者想要的东西。在这种情况下，恶意用户将被邀请作为新的管理员加入系统。之后，他们可以看到和做任何合法管理员可以做的事情，这不是什么好事。

消除功能级访问控制的漏洞

防止这种API漏洞尤其重要，因为攻击者不难找到结构化API中未受保护的函数。因此，只要他们能够获得对API的某种程度的访问，他们就可以开始映射代码的结构并创建最终会被跟踪的调用。

因此，所有业务层面的功能都必须使用基于角色的授权方法进行保护。大多数框架提供了集中的例程来实现这一目标。如果你选择的框架没有，或者它的程序很难实现，有许多外部模块是专门为方便使用而建立的。无论你最终选择什么方法，一定要在服务器上实现授权。千万不要试图从客户端保证功能的安全。

在创建功能和资源级别的权限时，请记住，用户应该只被赋予做他们需要的事情的权限，而不是其他。就像在编码API或其他任何东西时一样，实践最小权限的方法。这将确保你的环境安全，并在未来避免许多与网络安全有关的麻烦。

。 Secure Code Warrior博客页面，了解更多关于这个漏洞的见解，以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试一下 Secure Code Warrior 培训平台的演示，以保持你所有的网络安全技能得到磨练和更新。

在这个对网络安全专业人士来说最喜庆的年度场合，国家网络安全意识月是许多公司用来反思和评估整个组织的总体安全意识心跳的时间。仅在2018年，就有62%的企业经历了网络钓鱼或社会工程攻击，确保企业中的每个人--无论是否担任安全角色--都有足够的网络安全意识培训，其重要性怎么强调都不过分。

作为一个日益全球化的活动，这个月代表了讨论最佳实践的全部内容，而且这些举措都是故意在表面上的。然而，即使是拥有强大的安全计划和内部专家的组织，也可以利用这段时间来评估更多的技术团队，看看他们需要什么，以便在他们的角色范围内变得更有安全意识。

对于应用安全专家、开发团队领导和工程组群中更懂安全的成员来说，这可能有点像在教他们如何吸鸡蛋，但正是这些企业内部的拥护者能够将安全和安保推向新的高度，在全公司范围内。

如何提升你的网络安全意识月

这是一个黄金机会，安全团队可以向开发团队伸出橄榄枝，也许以团队间活动和计划的形式，帮助开发人员在工作中对安全有更积极的感受。

一些启动的想法包括。

1. 帮助开发人员获得他们所需的支持来学习安全编码。没有合适的工具来完成这项工作是一个很好的方法，让人觉得有理由把一项任务扔进太难的篮子。如果开发人员没有正确的培训和工具，将安全视为编码过程中的优先事项，那么难怪这么多团队没有能力将常见的漏洞挡在他们的代码之外。
   
   利用这个月来了解开发技术堆栈中缺少什么，哪些管理人员可以一起工作以改善沟通并提高安全可见度，以及谁可以继续倡导和支持安全的未来发展。
   
2. 举办一次 "午餐和学习 "活动。一般来说，网络安全和开发社区充满了非常慷慨的人，他们非常乐意分享他们的专业知识。联系会议发言人、其他公司的技术同行，甚至是当地的OWASP分会，看看谁能来和团队聊天，或者和组织中的某个人录制网络研讨会。这是一个相对快速的胜利，而且对于新兴的开发者来说，看到不同的安全职业道路摆在他们面前，可以说是一个巨大的好处。
   
3. 聚集在一起进行一些友好的竞争。当你做一些有点不同和特别的事情时，学习安全知识会更有趣。安全编码tournaments 是让开发人员测试他们的安全编码技能，并在游戏化的环境中与他们的同行竞争的一个好方法。以奇装异服为主题，在团队中发挥创意（开发人员对他们的经理如何？订购一些披萨和饮料，播放一些充满活力的音乐，这将是一个值得整个组织记住的活动。

回馈社会。下载你的免费Secure Code Bootcamp 应用程序

我自己也是一个开发者，一直以来，我们都在寻找我们可以免费分享和使用的东西。制作一些可能帮助他人的免费软件是我们的骄傲，这个月是一个反思我们的根源的好时机，看看我们能为社区提供什么。

为此，我们很高兴地宣布，我们将推出新的免费应用程序Secure Code Bootcamp 。这是一款袖珍安全编码伴侣，适合希望挑战自我、随时随地逐步提高安全意识的编码员使用。

现在就下载iOS和Android的应用程序，学习如何定位和识别Node.JS、Python:Django、Java:Spring、C# .NET中的OWASP漏洞。MVC。