越权漏洞笔记

基本概念

越权漏洞是Web应用程序中一种常见的安全漏洞，它的威胁在于一个账户即可控制全站用户数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。

水平越权（ 横向越权）

水平越权指攻击者尝试访问与他拥有相同权限的用户资源。例如，用户A和用户B属于同一角色，拥有相同的权限等级，他们能获取自己的私有数据（数据A和数据B），但如果系统只验证了能访问数据的角色，而没有对数据做细分或者校验，导致用户A能访问到用户B的数据（数据B），那么用户A访问数据B的这种行为就叫做水平越权访问。

水平越权，多发生在一些能够对数据进行查询、增、删、改的地方。比如一些使用id来对对应数据进行操作的功能点，如果此时没有把数据的id和用户的uid进行绑定的话，就容易产生水平越权漏洞。

平时排查问题时，可以使用Firefox浏览器F12中的网络请求功能，对关键参数进行修改替换，重新发送请求，查看响应包的内容来确认是否存在水平越权，如要进行更多的测试，推荐使用burpsuite、fiddler等专业抓包工具。

垂直越权（纵向越权）

非法获取高权限级别用户权限。比如：只隐藏URL未判断访问权限。在用户认证后只显示给用户认证过的页面和菜单选项，而实际上这些仅仅是表示层的访问控制而不能真正生效，攻击者能够很容易的就伪造请求直接访问未被授权的页面（如管理员功能）。

越权检查列表

1. 与前端交互的服务禁止直接使用前端传递的当前用户id(请求head或请求报文中的用户id等) ，必须使用当前用户登录会话凭证通过服务端交互获取用户ID。
2. 前端传递私有数据id（如订单号|联系方式ID等） 禁止直接检索数据库ID并不与当前用户id校验，而是需配合当前登录会话中的用户ID&数据ID同时进行检索校验。
3. 客服人员访问数据时，需通过权限系统校验当前登录的用户是否有访问该类数据的权限。
4. 权限及身份校验必须在敏感数据处理接口中提前处理，而不能在前端拆分成几个过程。
5. 系统外部交互过程中如果需要防篡改，可将数据使用公私钥+时间 进行签名校验。
6. 控制服务访问级别，避免对内服务无意暴露在公网中。

研发保障制度

• 评审的技术方案需要有安全部分的设计，必须包括对外接口的权限控制设计。
• 评审的测试用例，必须包括安全测试用例和越权测试用例。

越权访问漏洞的修复方案

1. [最优方案]验证每次请求（URL、数据等资源）的用户权限。建立基于角色的权限控制矩阵，实现“用户”、“角色”、“权限”对照表。系统功能区域分离（普通用户、管理员、公共访问区等）。
2. [次优方案]增加随机化参数（避免可预测）。使用难以预测的参数（如一次性token预先下发到客户端，客户端浏览器请求数据时带上账户ID和一次性token），使攻击者无法预测执行操作。