当信息安全与大麻审查碰撞：安全处理管理员操作

俄亥俄州近期通过一次Web应用渗透测试，揭示了一个常被忽视的安全问题：管理员功能的细节、其可能被滥用的方式，以及滥用潜力如何使所有数据可靠性受到质疑。

事件回顾

俄亥俄州哥伦布市——州审计办公室发现，医疗大麻种植申请评分流程存在一个“严重缺陷”，可能允许州雇员更改分数或操纵其他文件。

根据审计员Dave Yost办公室的报告，两名俄亥俄州商务部雇员拥有超过20名申请评审员的在线账户及相关文档的无限访问权限。这些雇员还创建并管理评审员的密码，而评审员本应仅被授权访问申请的特定部分。

在2月6日致商务总监Jacqueline Williams的信中，Yost写道，这一弱点可能允许雇员以评审员身份登录并更改分数。Yost所称的“弱点”意味着审计人员无法分辨记录是由申请评审员还是其他以评审员身份登录的人修改的。

来源：http://www.cleveland.com/metro/index.ssf/2018/02/ohio_auditor_finds_flaw_in_med.html

管理员需要能够创建用户账户。在某些情况下，他们还需要能够重置密码。在其他情况下，他们可能需要模拟其他用户以诊断问题、提供培训或实时帮助解决问题。所有这些需求都是合法的，但如果处理不当，每项操作都可能污染审计追踪，导致无法确定谁在应用中执行了哪些操作，并使应用数据完全不可靠。

每当管理员“代表”其他用户执行任何操作时，必须将此事件记录为如此。调查人员必须能够辨别有第二个用户参与、该用户是谁、执行了什么操作以及操作时间。

缺乏此类记录，就无法确定谁执行了任何给定操作。问题的严重程度取决于您希望用数据做什么，以及用户为确保“正确”行事（无论在您的情况下意味着什么）可能承担的责任。

俄亥俄州审计员总结了问题：

这一控制弱点可能允许管理员以账户持有人而非其自己的管理账户登录……操纵文档。由于程序设计中的这一严重缺陷，本办公室及公众均无法依赖……结果。

来源：https://assets.documentcloud.org/documents/4377305/2-6-18-Commerce-Letter-Director-Williams-2.pdf

当管理员可以访问用户凭证时，管理员可以无法追踪地模拟该用户。凭证不仅是用户名和密码，还包括任何提供账户访问权限的内容。在Web应用中，会话Cookie就是一种凭证。

如果您以明文存储用户密码，或以任何其他允许从数据库中原样使用的方式存储，问题就远不止审计问题。即使显示密码哈希（如某些管理面板所做），也可能近似相同的问题。哈希可以被破解。出于审计目的，显示的哈希可能必须视为显示的密码。

用户可以通过使用共享秘密向应用证明身份来自行更改或重置密码。在管理员必须参与密码重置的情况下，应强制用户在应用中执行任何其他操作之前更改该密码。

当管理员需要准确查看用户所见内容时，可以构建应用，使用户必须邀请管理员进入其会话，并主动允许其控制。此权限授予将被记录，管理员同会话期间的所有事件都将如此标记，清晰识别会话中涉及的两个人。

在极少数需要管理员使用他人账户的情况下，这绝不能意味着管理员获得用户凭证的访问权限。需要一个模拟系统，清晰记录该会话事件期间谁在操作键盘。在敏感情况下，此注释应在UI中与相关数据一起显示，以免被忽略。

*完全披露：BHIS未以任何方式参与俄亥俄州的此次行动。我们只是在新闻中注意到了它。