SpringWeb项目中越权漏洞的实战检测与防御策略

1. 越权漏洞：藏在权限背后的安全隐患

想象一下这样的场景：你住在一栋公寓里，物业给每个住户发了门禁卡。理论上你的卡只能刷开自己家的门，但如果有一天你发现这张卡能打开整栋楼所有房间的门——这就是典型的越权漏洞。在SpringWeb项目中，这种安全隐患可能导致用户数据泄露、业务逻辑被篡改等严重后果。

越权漏洞主要分为三种类型：

• 未授权访问：相当于没有门禁卡的人混进了小区
• 水平越权：你的门禁卡能打开邻居家的门
• 垂直越权：普通住户的卡突然能打开物业办公室

我在实际项目审计中发现，80%的中小型SpringWeb应用都存在不同程度的越权问题。很多开发者认为"已经做了登录验证就安全了"，却忽略了权限细粒度控制这个关键环节。比如最近审计的一个电商系统，攻击者只需修改订单ID参数就能查看他人订单，这就是典型水平越权。

2. 漏洞检测：像黑客一样思考

2.1 未授权访问检测实战

最基础的检测方法就是不登录直接访问需要认证的接口。比如直接浏览器访问/admin/userList，如果返回了用户列表数据，那问题就很严重了。我常用的检测流程是：

1. 使用Postman或curl发送未认证请求
2. 检查响应状态码和返回数据
3. 尝试绕过前端校验（直接调用API接口）

# 使用curl测试未授权访问 curl -X GET http://example.com/api/secret-data

对于依赖Cookie认证的系统，可以尝试伪造Cookie。Chrome开发者工具的Application面板就能直接编辑当前站点的Cookie值。我曾遇到一个系统，只要把cookie中的isLogin=false改为true就能绕过认证。

2.2 水平越权深度测试

水平越权检测需要准备两个同权限等级的测试账号。以用户管理系统为例：

1. 用用户A登录，查看自己的个人信息接口（如/user/profile/123）
2. 记录请求中的用户ID参数
3. 将ID替换为用户B的ID（如改为/user/profile/456）
4. 检查是否能获取到用户B的信息

Burp Suite的Intruder模块非常适合做参数遍历测试。去年帮一个金融客户做渗透测试时，我们发现其用户ID是连续数字，通过脚本批量测试，成功获取了上万个用户资料。

2.3 垂直越权突破技巧

垂直越权测试需要高低权限账号各一个。关键点是找到那些"本不该出现"的功能接口：

1. 用低权限账号登录
2. 通过浏览器开发者工具抓取高权限接口（如管理后台的API）
3. 直接调用这些接口测试响应

有个有趣的案例：某系统前端会根据角色隐藏管理菜单，但后端接口完全没有做权限校验。我们通过查看网页源码找到了被隐藏的接口路径，用普通用户账号成功执行了管理员操作。

3. SpringWeb防御方案实战

3.1 过滤器方案：全站防护网

Servlet过滤器适合需要对静态资源也做权限控制的场景。下面是我在多个项目中验证过的增强版过滤器实现：

@WebFilter(filterName = "authFilter", urlPatterns = "/*") public class AuthFilter implements Filter { // 排除登录等公开接口 private static final Set<String> WHITE_LIST = Set.of( "/login", "/public/*", "/error" ); @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; String path = request.getRequestURI(); // 白名单直接放行 if(isWhiteList(path)) { chain.doFilter(req, res); return; } // 从JWT或Session获取用户信息 User user = getUserFromToken(request); if(user == null) { sendError(res, 401, "请先登录"); return; } // 检查权限 if(!checkPermission(user, path)) { sendError(res, 403, "权限不足"); return; } chain.doFilter(req, res); } private boolean checkPermission(User user, String path) { // 这里实现你的权限校验逻辑 // 可以从数据库查询用户的权限列表 return user.getPermissions().contains(path); } }

关键点：

1. 务必设置白名单，避免拦截登录等公开接口
2. 权限检查建议使用RBAC模型
3. 错误响应要统一格式，避免泄露系统信息

3.2 拦截器方案：Spring风格防护

对于纯API项目，Spring拦截器是更优雅的选择。这是我优化过的拦截器实现：

@Component public class AuthInterceptor implements HandlerInterceptor { @Autowired private PermissionService permissionService; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 静态资源直接放行 if (!(handler instanceof HandlerMethod)) { return true; } HandlerMethod method = (HandlerMethod) handler; // 检查方法上的权限注解 if (method.hasMethodAnnotation(AllowAnonymous.class)) { return true; } // 获取当前用户 User user = getUserFromRequest(request); if (user == null) { response.sendError(401, "认证失败"); return false; } // 检查权限 String permission = method.getMethodAnnotation(RequirePermission.class).value(); if (!permissionService.check(user, permission)) { response.sendError(403, "权限不足"); return false; } return true; } }

配套的权限注解：

@Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface RequirePermission { String value(); // 权限标识 } @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.METHOD, ElementType.TYPE}) public @interface AllowAnonymous { }

使用示例：

@RestController @RequestMapping("/user") public class UserController { @GetMapping("/profile") @RequirePermission("user:read") public ResponseEntity getUserProfile() { // ... } @PostMapping @RequirePermission("user:create") public ResponseEntity createUser() { // ... } }

4. 进阶防护：数据级权限控制

4.1 水平越权终极方案

前面介绍的方法解决了功能入口的权限控制，但数据级别的水平越权需要额外处理。推荐几种实践方案：

方案一：SQL自动注入用户ID

@Repository public class OrderRepository { @Query("SELECT o FROM Order o WHERE o.id = :id AND o.userId = :userId") Order findByIdAndUser(@Param("id") Long id, @Param("userId") Long userId); }

方案二：AOP自动过滤

@Aspect @Component public class DataPermissionAspect { @Around("execution(* com..repository.*.find*(..))") public Object addDataFilter(ProceedingJoinPoint joinPoint) throws Throwable { // 从上下文中获取当前用户 User user = SecurityContext.getCurrentUser(); // 修改查询参数 Object[] args = joinPoint.getArgs(); args = addUserCondition(args, user.getId()); return joinPoint.proceed(args); } }

4.2 权限缓存优化

频繁的权限检查可能成为性能瓶颈。我的经验是采用多级缓存策略：

1. 本地缓存：使用Caffeine缓存用户权限列表
2. 分布式缓存：Redis存储热点权限数据
3. 缓存失效：当用户权限变更时通过消息队列通知各节点

@Service public class PermissionService { @Autowired private RedisTemplate<String, Object> redisTemplate; private final Cache<Long, Set<String>> localCache = Caffeine.newBuilder() .expireAfterWrite(10, TimeUnit.MINUTES) .maximumSize(10_000) .build(); public boolean checkPermission(Long userId, String permission) { // 1. 查本地缓存 Set<String> permissions = localCache.getIfPresent(userId); if(permissions == null) { // 2. 查Redis permissions = (Set<String>)redisTemplate.opsForValue() .get("user:perms:" + userId); if(permissions == null) { // 3. 查数据库 permissions = permissionRepository.findByUserId(userId); redisTemplate.opsForValue().set( "user:perms:" + userId, permissions, 1, TimeUnit.HOURS ); } localCache.put(userId, permissions); } return permissions.contains(permission); } }

5. 安全开发最佳实践

在多年项目经验中，我总结了这些黄金法则：

1. 最小权限原则：默认拒绝所有请求，只开放必要权限
2. 前端非安全：永远不要依赖前端隐藏按钮或菜单来做权限控制
3. 权限集中管理：建立统一的权限服务，避免分散校验
4. 敏感操作日志：记录所有权限变更和敏感操作
5. 定期权限审计：每月检查一次用户权限分配情况

对于新项目，我建议从一开始就集成Spring Security框架。虽然学习曲线较陡，但它提供了完善的权限控制体系。一个基础配置示例：

@Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .defaultSuccessUrl("/") .and() .rememberMe() .key("uniqueAndSecret") .tokenValiditySeconds(86400); } }

对于已经上线的老项目，可以采取渐进式改造策略：

1. 先在最外层加全局过滤器
2. 逐步为每个Controller添加细粒度权限控制
3. 最后实现数据级权限控制

在微服务架构下，建议将权限服务独立部署，通过JWT令牌传递用户权限信息。网关层可以做初步的权限校验，各微服务再做细粒度控制。