从靶场到实战：拆解水平与垂直越权的攻防场景

1. 越权漏洞：数字世界的"身份冒用"危机

想象一下这样的场景：你走进一家银行，柜员仅凭你随口报出的手机号，就把别人的存款信息全部展示给你——这听起来像天方夜谭，但在数字世界里，类似的"身份冒用"每天都在发生。这就是越权漏洞的可怕之处：系统错误地将本应属于A的权限开放给了B。我在安全测试中遇到过最典型的案例，是某电商平台仅修改URL参数就能查看任意用户的订单详情，攻击者甚至不需要破解密码。

越权漏洞主要分为两种类型：水平越权（同级别用户间的横向突破）和垂直越权（低权限用户获取高权限功能）。前者就像小区住户互相撬对方信箱，后者则如同普通访客拿到了物业 master key。根据OWASP统计，这类漏洞长期占据Web安全风险TOP10，却最容易被开发者忽视——因为它们的攻击手法往往简单到令人难以置信。

2. 水平越权：同级别用户的"数据穿越"

2.1 漏洞原理与常见攻击面

水平越权的本质是权限隔离失效。当系统仅通过前端隐藏或简单参数来控制数据访问时，就像把保险箱密码写在便利贴上。我曾在测试中发现三种高频漏洞模式：

• 用户ID可预测：使用连续数字作为用户标识（如user_id=10086），攻击者遍历ID即可获取全站数据
• 对象ID未校验：查看订单时只验证登录状态，不验证订单归属（如order_id=20230815）
• 文件名直接引用：通过修改file参数就能下载其他用户上传的私密文件（如file=../user1/photo.jpg）

这些漏洞的共同点是：系统只检查"能否访问某类功能"，却不验证"能否访问特定数据"。就像医院挂号系统只确认你是患者，却不核对就诊卡与病历的匹配关系。

2.2 靶场实战：Pikachu越权实验解析

让我们在Pikachu靶场还原经典场景。已知三个测试账号：

• lucy/123456
• lili/123456
• kobe/123456

攻击步骤：

1. 使用Burp Suite拦截Lucy的登录请求
2. 修改POST数据中的username参数为kobe
3. 放行请求后，系统直接返回kobe的账户信息

POST /login HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded username=kobe&password=123456

这个案例暴露出致命问题：服务端仅验证密码正确性，未校验用户名与密码的对应关系。实际业务中，我曾见过更隐蔽的变种——通过修改Cookie中的userID字段实现越权。

2.3 防御方案：三层防护体系

要堵住水平越权漏洞，需要建立立体防御：

1. 会话绑定：服务端会话中存储当前用户ID，所有数据请求自动关联该ID

   // 正确做法：从session获取用户ID $current_user = $_SESSION['user_id']; $sql = "SELECT * FROM orders WHERE user_id = $current_user";

2. 数据归属验证：任何涉及对象ID的操作前，先验证归属关系

   # Django示例 order = get_object_or_404(Order, id=order_id, user=request.user)

3. 不可预测标识符：使用UUID替代自增ID，防止参数遍历

   // 生成不可预测的订单号 const orderId = crypto.randomUUID();

3. 垂直越权：普通用户的"权限僭越"

3.1 从普通用户到系统管理员

垂直越权比水平越权危害更大，它打破了权限体系的层级结构。最常见的两类场景：

• 功能URL暴露：管理员后台路径可被猜测（如/admin.php）
• 接口权限缺失：普通用户调用本应受限的API端点（如POST /api/createUser）

在某次渗透测试中，我发现只需将普通用户的Cookie添加到管理员登录页请求中，就能绕过身份验证。这是因为系统只检查"是否登录"，不检查"角色权限"。

3.2 靶场案例：Pikachu管理员功能劫持

Pikachu靶场中存在两个测试账号：

• admin/123456（管理员）
• pikachu/000000（普通用户）

攻击过程：

1. 登录pikachu账户，发现无"添加用户"功能
2. 直接访问管理员专属URL：op2_admin_edit.php
3. 系统未校验用户角色，成功进入用户管理界面

关键问题出在代码逻辑：

// 只检查登录状态，未验证管理员身份 if(!check_op2_login($link)){ header("location:op2_login.php"); exit(); }

3.3 防御策略：权限校验黄金法则

要防范垂直越权，必须贯彻以下原则：

1. 最小权限原则：每个功能默认拒绝，显式授权

   // Spring Security配置示例 http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated();

2. 服务端强制校验：前端隐藏只是障眼法，后端必须二次验证

   # Flask装饰器验证管理员权限 def admin_required(f): @wraps(f) def decorated(*args, **kwargs): if not current_user.is_admin: abort(403) return f(*args, **kwargs) return decorated

3. 权限分离设计：管理员与普通用户使用完全独立的认证流程

4. 从靶场到实战：企业级防护方案

4.1 安全开发生命周期实践

在DevSecOps流程中，我推荐以下防护措施：

1. 威胁建模阶段：

   • 绘制数据流图(DFD)标注信任边界
   • 对每个跨边界访问标注权限要求

2. 编码阶段：

   • 使用框架提供的权限注解（如@PreAuthorize）
   • 编写自动化测试用例验证权限控制

3. 测试阶段：

   • 使用OWASP ZAP进行自动化权限测试
   • 人工验证关键业务流权限

4.2 监控与应急响应

建立越权攻击的监测体系：

• 日志记录所有敏感操作的原始请求参数
• 设置异常行为告警（如普通用户访问管理接口）
• 定期审计权限分配情况

某次事件响应中，我们通过分析日志发现攻击者使用员工账号在非工作时间批量查询用户数据，及时阻断了数据泄露。这提醒我们：权限管理不是一次性工作，而是持续过程。

5. 开发者自查清单

最后分享我的安全检查清单，每次代码评审时都会用到：

1. 参数校验：

   • 所有传入的ID参数是否验证数据归属？
   • 文件下载是否限制目录范围？

2. 功能权限：

   • 管理功能是否进行角色验证？
   • 前端隐藏的功能后端是否同样防护？

3. 会话管理：

   • 敏感操作是否重新验证身份？
   • 会话是否包含完整的权限上下文？

4. 日志记录：

   • 关键操作是否记录操作用户？
   • 日志是否包含足够的审计信息？

在实际项目中，最危险的往往不是复杂的技术漏洞，而是这些看似简单的逻辑缺陷。就像安全圈那句老话："最难防的不是黑客的0day攻击，而是开发者的一个if语句没写好。"