[i=s] 本帖最后由 one-921 于 2025-7-27 22:40 编辑 [/i]
越权漏洞详解
1. 前言
越权漏洞(Authorization Bypass Vulnerability)是 Web 应用中的一种常见安全问题,指攻击者通过绕过系统的权限控制机制,获取未授权的访问权限或执行敏感操作。这种漏洞可能导致数据泄露、信息篡改等严重后果。
从技术角度来看,越权漏洞通常出现在身份验证或权限管理不严密的场景中。例如,用户可以通过直接访问某个 URL 来获取其他用户的私密信息,或尝试执行管理员级别的操作,而不被系统察觉。
漏洞评级:中危
奖金:50 - 500元
2. 漏洞产生原因
越权漏洞的核心原因主要包括以下几类:
· 权限检查缺失:系统未对用户的权限进行严格的检查,导致用户可以访问不应访问的资源。
· 用户输入未过滤:用户可控制的参数(如用户 ID)未进行充分验证,攻击者可以通过修改请求参数获取其他用户的数据。
· 不当的逻辑控制:应用程序在设计上未能合理区分不同用户的权限,导致低权限用户可以执行高权限操作。
· 会话管理不当:若会话信息未进行有效保护,攻击者可能通过会话劫持获取高权限用户的权限。
3. 漏洞的危害
越权漏洞虽然在某些情况下被评为中危,但其利用后果可能非常严重,主要包括:
· 数据泄露:攻击者可以访问敏感信息,如用户个人数据、财务信息等,造成用户隐私和公司机密的泄露。
· 数据篡改:攻击者可能修改或删除其他用户的数据,导致数据的完整性和可靠性受到影响。
· 系统控制:低权限用户通过越权操作获取系统控制权限,可能导致系统被恶意利用。
· 品牌信誉损害:用户因信任网站而遭受损失,可能导致品牌形象受损和用户流失。
4. 针对越权漏洞的测试技巧
4.1 聚焦核心业务场景
越权漏洞通常出现在用户交互频繁的场景,手工测试时需重点关注:
· 认证相关流程:如登录、注册、密码重置、注销等,在这些场景中需要确保用户的身份验证和权限检查。
· 管理后台:普通用户尝试访问管理功能或数据时,需检查是否能绕过权限控制。
· 数据操作:如查看、编辑、删除等操作,确保每个操作都经过严格的权限验证。
4.2 关键词定位权限参数
通过 URL、请求包或页面源码搜索以下关键词,快速识别潜在的权限控制问题:
· 常见参数名:userId、admin、role、isAdmin等。
· 后端响应:检查响应中是否包含用户权限相关字段,以判断是否存在权限检查缺陷。
4.3 分析用户权限逻辑
· 记录不同用户角色的访问路径,例如:
o 普通用户访问:https://example.com/user/profile?userId=123
o 管理员访问:https://example.com/admin/dashboard
· 尝试修改请求参数,观察是否能访问其他用户的数据或管理功能。
5. 漏洞利用前准备
作为渗透工程师,在利用越权漏洞前需完成以下准备工作,确保攻击链路可通:
信息收集:
o 识别目标网站中可能涉及权限的参数,常见参数包括:userId、role、action等,可通过抓包分析(如 Burp Suite 拦截请求)获取。
o 定位漏洞发生点:聚焦用户交互频繁的场景,记录所有包含权限相关的 URL。
权限探测:
o 初步测试:直接修改用户 ID(如**?userId=456**),观察是否能访问其他用户的资料。
o 绕过测试:若直接访问被拦截,尝试修改其他参数或使用不当的权限参数组合。
6. 漏洞利用场景 + 实操绕过案例
6.1 用户数据访问场景及绕过案例
场景说明:某社交网站允许用户查看个人资料,通过userId参数控制访问。
基础案例:
· 目标:某社交网站https://social.example.com/profile?userId=123,正常情况下只能查看 ID 为 123 的用户资料。
· 漏洞测试:构造https://social.example.com/profile?userId=456,若能成功查看其他用户资料,则存在漏洞。
6.2 管理后台功能绕过案例
场景说明:某应用提供管理员功能,通过isAdmin参数控制访问。
基础案例:
· 目标:某后台管理系统https://admin.example.com/dashboard?isAdmin=true,正常情况下仅管理员可访问。
· 漏洞测试:构造https://admin.example.com/dashboard?isAdmin=false,若能成功访问,则存在漏洞。
6.3 文件上传权限绕过案例
场景说明:某网站允许用户上传文件,通过userRole参数控制上传权限。
基础案例:
· 目标:某文件上传接口https://upload.example.com?userRole=user,正常情况下普通用户只能上传特定类型的文件。
· 漏洞测试:构造https://upload.example.com?userRole=admin,若能上传敏感文件,则存在漏洞。
6.4 会话劫持场景及绕过案例
场景说明:用户登录后,系统会通过会话管理保持用户状态,若会话信息未保护,则可能被攻击者劫持。
基础案例:
· 目标:某应用在用户登录后,不对会话信息进行有效保护。
· 漏洞测试:使用工具进行会话劫持,若能获取其他用户的权限,则存在漏洞。
7. 常见误区解读
· 误区 1:认为只有管理员账号才能存在越权漏洞。实际上,普通用户也可能通过参数修改实现越权访问。
· 误区 2:只关注后台权限,忽视前端接口。前端接口同样可能存在越权漏洞,需全面测试。
· 误区 3:一次测试失败即判定无漏洞。部分网站对权限检查存在缺陷,需多种方式尝试后再下结论。
总结新手刚挖会出现的问题
1.新手刚挖src时觉得越权漏洞就是相互之前换cookie,这个是错误的
问:我自己是A用户,我室友是B用户,我A用户想水平越权B用户,那么我直接抓包把cookie换成B,然后可以看到B的信息,这个是不是越权了?
回答之前不妨先看一下这个对话:我先反问一下你,如果我就是你的室友B,你怎么知道我的cookie,你大喊一声,你告诉一下你的cookie是啥,我好越权你!大家说这有意义吗?我直接把账号密码给你了你说你可以越权我?
正确解答:例如数据包长这个样子
POST user/phone HTTP/2
Host:bbs.yijin.com
Cookie:
Session=wteJ1WvAlzohlmRMsMU6hCSchp655ZPa
Content-Length:40
Check=1
B用户的cookie:
Session=agsdka28018ahshah82180zllkp1180021
你根本就没有办法知道这个B用户的cookie长什么样子,所以你这种想法的“越权”是毫无意义的,根本不叫漏洞!
越权漏洞靶场实践操作
首先,我们来到burpsuit靶场,开启我们第一个漏洞实验
未受保护的管理功能和不可预测的 URL
通过请求参数控制用户角色【cookie参数伪造垂直越权】
用户角色可以在用户配置文件中修改【垂直越权】
由请求参数控制的用户ID【水平越权】
关于越权漏洞暂时就是这么多讲解了,之后如果有什么新思路我还会多多更新在上面的,欢迎大家多多关注此版块
