水平越权与垂直越权:从原理到实战漏洞挖掘
1. 越权漏洞:数字世界的"冒名顶替"危机
想象一下这样的场景:你在银行柜台办理业务时,工作人员误将隔壁客户的账户信息展示给你,甚至允许你操作他人账户——这显然是一场灾难。而在数字世界中,水平越权和垂直越权就是这样的安全隐患。去年某电商平台就曾爆出用户A能查看用户B的订单信息,这正是典型水平越权案例。作为安全工程师,我处理过的越权漏洞中,80%都源于看似简单的参数篡改。
越权漏洞本质上属于访问控制缺陷,OWASP将其列为十大Web应用安全风险之一。当系统未能正确验证"谁可以做什么"时,攻击者就能像拿到万能钥匙般突破权限边界。我曾用Burp Suite测试某OA系统,仅修改URL中的用户ID参数就获取了高管权限,整个过程不到3分钟。
2. 水平越权:同级用户的权限穿越
2.1 原理与典型案例
水平越权就像酒店房卡失效——本应只能开自己房间的卡,却能打开同楼层所有客房。技术层面表现为:系统仅验证登录状态,却未校验数据归属。去年某社交平台漏洞允许用户通过修改GET参数查看他人私信,就是经典案例。
实战中常见攻击手法包括:
- ID枚举攻击:递增URL中的用户ID参数(如
?uid=10086改为?uid=10087) - 参数篡改:修改POST请求中的隐藏字段(如
<input type="hidden" name="owner_id" value="123">) - Cookie滥用:复制低权限用户的认证令牌用于其他账户
GET /api/user/profile?user_id=1024 HTTP/1.1 Host: vulnerable.com Authorization: Bearer xxxxxxx只需将user_id改为1025,就可能获取他人资料。
2.2 自动化检测方案
我习惯使用Burp Suite的Authz插件进行初步筛查:
- 抓取普通用户操作的数据包
- 清除所有认证信息(Cookie/Token置空)
- 发送到Authz进行批量测试
- 观察响应码200的请求是否包含敏感数据
更深入的检测可以结合SQLMap:
sqlmap -u "http://target.com/order?id=1" --cookie="session=xxx" --technique=E --level=33. 垂直越权:权限阶梯的非法攀登
3.1 从普通用户到管理员
垂直越权如同普通员工突然获得CEO权限。某次渗透测试中,我发现某CMS后台的/admin/delete_user.php接口竟然无需管理员Token即可调用。这类漏洞常源于:
- 缺失权限校验中间件:路由未添加
@AdminRequired注解 - 前端隐藏不等于后端安全:仅隐藏管理界面入口
- 特权接口暴露:管理员API未做ACL控制
典型攻击路径:
普通用户登录 → 抓取管理请求 → 修改角色参数 → 提升权限3.2 JWT越权实战
现代应用常用JWT做认证,但错误实现会导致严重漏洞。某次审计时发现如下问题:
# 错误示范:未验证签名算法 jwt.decode(token, verify=False) # 正确做法:强制HS256算法且验证签名 jwt.decode(token, key='secret', algorithms=['HS256'])攻击者可修改JWT头部将算法改为none,伪造管理员声明:
{ "alg": "none", "typ": "JWT" } { "user": "attacker", "role": "admin" }4. 防御体系的构建之道
4.1 访问控制黄金法则
根据我在金融系统加固的经验,有效防御需多层级配合:
| 防御层 | 实施要点 | 示例 |
|---|---|---|
| 代码层 | 强制声明式权限校验 | Spring Security的@PreAuthorize |
| 架构层 | 统一网关鉴权 | Kong的ACL插件 |
| 数据层 | 行级权限控制 | PostgreSQL的RLS策略 |
4.2 实战防护方案
推荐采用"权限三验证"机制:
- 身份验证:校验Token有效性
if(!tokenService.validate(token)) throw new UnauthorizedException(); - 操作验证:检查用户是否有权执行动作
def delete_user(user_id): if current_user.role != 'admin': abort(403) - 数据验证:确认数据归属
SELECT * FROM orders WHERE user_id = ? AND order_id = ?
5. 漏洞挖掘实战指南
5.1 手工测试四步法
在最近的项目中,我总结出高效测试流程:
- 权限映射:用不同账号访问相同端点,对比响应差异
- 参数爆破:使用Burp Intruder遍历ID参数
- 状态篡改:修改请求中的role/admin标志位
- 接口猜测:尝试访问
/admin/、/api/v1/privileged等常见路径
5.2 自动化工具链
我的安全工具箱常备:
- Burp Suite:Authz/Scanner模块
- Postman:权限测试用例集
- 自定义脚本:批量检测IDOR漏洞
import requests for uid in range(1000,1005): r = requests.get(f'http://target.com/api/user/{uid}') if 'email' in r.text: print(f'Leak found: {uid}')越权漏洞就像数字世界的身份盗窃,防御的关键在于永远不要信任客户端传来的任何权限声明。每次代码审查时,我都会特别检查三个关键点:是否显式校验了权限?是否验证了数据归属?敏感操作是否有二次认证?这些习惯帮助我发现了多个高危漏洞。记住,安全的系统应该像严谨的银行金库——每次访问都需要验证"你是谁"和"你能做什么"。