评估在查询字符串中暴露行身份的安全风险

Question

暴露 SQL 行的 ID 号是否存在安全风险？

例如，有一个 ID 为 12 的事件。

如果有人通过 http://example.com/events/12 访问它，或者有人向 发送 POST，是否存在安全问题>http://example.com/events/12 为了更新该记录（当然假设我允许这样做）？

Answer 1

在 Web 安全上下文中，将 ID 暴露给用户的问题通常被称为“不安全的直接对象引用”。

来自 OWASP：

防止不安全的直接对象引用需要选择一种方法来保护每个对象用户可访问对象（例如，对象编号、文件名）：

1. 每个用户或会话使用间接对象引用。这可以防止
   攻击者直接针对未经授权的资源。为了
   例如，不使用资源的数据库键，而是使用下拉菜单
   为当前用户授权的六种资源列表可以使用
   数字 1 到 6 指示用户选择的值。这
   应用程序必须将每个用户的间接引用映射回
   服务器上的实际数据库密钥。 OWASP 的 ESAPI 包括两者
   开发人员可以使用的顺序和随机访问参考图
   消除直接对象引用。
2. 检查访问权限。每次使用来自一个的直接对象引用
   不受信任的来源必须包括访问控制检查以确保
   用户被授权使用所请求的对象。

纵深防御方法是同时执行 1 和 2。 2.

Answer 2

显示或不显示都没关系。

重要的是您检查调用者是否经过身份验证并有权执行所请求的操作。

有人可能有一个机器人向 http://example/events/x 发出请求，其中 x 是一个递增的数字。也许是一个史努比员工试图查看http://payroll/employee/x。

对用户进行身份验证，以确保他们的真实身份。表单身份验证、LDAP，什么都有。

确保用户有权在调用时执行每个操作。通常，用户所属的组有权更新老板的工资、创建发货或取消信用卡。

如果您实施上述措施，则 id 的来源并不重要，无论它是在 cookie、隐藏表单元素、查询字符串、会话变量等上。

Answer 3

当您使用整数标识符时，URL 和查询字符串尤其不安全。毕竟，如果有 12，几乎肯定会有 11 或 10。GUID 使猜测另一个项目变得更加困难，但仍然不应该被认为是安全的 IMJO。

底线：您需要某种身份验证机制来确保用户是他所声称的人，并需要授权机制来确保他可以看到您将要向他展示的内容。