[toc]

1.1. 漏洞原理

越權(quán)漏洞是指應(yīng)用程序未對(duì)當(dāng)前用戶操作的身份權(quán)限進(jìn)行嚴(yán)格校驗(yàn)，導(dǎo)致用戶可以操作超出自己管理權(quán)限范圍的功能，從而操作一些非該用戶可以操作的行為。簡(jiǎn)單來說，就是攻擊者可以做一些本來不該他們做的事情（增刪改查）。

IDOR

1.2. 漏洞分類

主要分為 水平越權(quán) 和 垂直越權(quán) 兩大類

1.2.1. 水平越權(quán)

發(fā)生在具有相同權(quán)限級(jí)別的用戶之間。攻擊者通過利用這些漏洞，訪問其他用戶擁有的資源或執(zhí)行與其權(quán)限級(jí)別不符的操作。

1.2.2. 垂直越權(quán)

發(fā)生在具有多個(gè)權(quán)限級(jí)別的系統(tǒng)中。攻擊者通過利用這些漏洞，從一個(gè)低權(quán)限級(jí)別跳轉(zhuǎn)到一個(gè)更高的權(quán)限級(jí)別。例如，攻擊者從普通用戶身份成功躍遷為管理員。

1.3. 漏洞舉例

1.3.1. 水平越權(quán)

假設(shè)一個(gè)在線論壇應(yīng)用程序，每個(gè)用戶都有一個(gè)唯一的用戶ID，并且用戶可以通過URL訪問他們自己的帖子。應(yīng)用程序的某個(gè)頁(yè)面的URL結(jié)構(gòu)如下：

https://example.com/forum/posts?userId=<用戶ID>

應(yīng)用程序使用userId參數(shù)來標(biāo)識(shí)要顯示的用戶的帖子。假設(shè)Alice的用戶ID為1，Bob的用戶ID為2。

Alice可以通過以下URL訪問她自己的帖子：

https://example.com/forum/posts?userId=1

現(xiàn)在，如果Bob意識(shí)到URL參數(shù)是可變的，他可能嘗試修改URL參數(shù)來訪問Alice的帖子。他將嘗試將URL參數(shù)修改為Alice的用戶ID（1）：

https://example.com/forum/posts?userId=1

如果應(yīng)用程序沒有正確實(shí)施訪問控制機(jī)制，沒有驗(yàn)證用戶的身份和權(quán)限，那么Bob將成功地通過URL參數(shù)訪問到Alice的帖子。

1.3.2. 垂直越權(quán)

假設(shè)一個(gè)電子商務(wù)網(wǎng)站，有兩種用戶角色：普通用戶和管理員。普通用戶有限的權(quán)限，只能查看和購(gòu)買商品，而管理員則擁有更高的權(quán)限，可以添加、編輯和刪除商品。

在正常情況下，只有管理員可以訪問和執(zhí)行與商品管理相關(guān)的操作。然而，如果應(yīng)用程序沒有正確實(shí)施訪問控制和權(quán)限驗(yàn)證，那么普通用戶可能嘗試?yán)么怪痹綑?quán)漏洞提升為管理員角色，并執(zhí)行未經(jīng)授權(quán)的操作。

例如，普通用戶Alice可能意識(shí)到應(yīng)用程序的URL結(jié)構(gòu)如下：

https://example.com/admin/manage-products

她可能嘗試手動(dòng)修改URL，將自己的用戶角色從普通用戶更改為管理員，如下所示：

https://example.com/admin/manage-products?role=admin

如果應(yīng)用程序沒有進(jìn)行足夠的驗(yàn)證和授權(quán)檢查，就會(huì)錯(cuò)誤地將Alice的角色更改為管理員，從而使她能夠訪問和執(zhí)行與商品管理相關(guān)的操作。

1.4. 漏洞危害

具體以實(shí)際越權(quán)的功能為主，大多危害如下：

1. 數(shù)據(jù)泄露：攻擊者可以通過越權(quán)訪問敏感數(shù)據(jù)，如個(gè)人信息、財(cái)務(wù)數(shù)據(jù)或其他敏感業(yè)務(wù)數(shù)據(jù)。這可能導(dǎo)致違反隱私法規(guī)、信用卡信息泄露或個(gè)人身份盜用等問題。
2. 權(quán)限提升：攻擊者可能利用越權(quán)漏洞提升其權(quán)限級(jí)別，獲得系統(tǒng)管理員或其他高權(quán)限用戶的特權(quán)。這可能導(dǎo)致對(duì)整個(gè)系統(tǒng)的完全控制，并進(jìn)行更廣泛的惡意活動(dòng)。

1.5. 修復(fù)建議

1. 實(shí)施嚴(yán)格的訪問控制：確保在應(yīng)用程序的各個(gè)層面上實(shí)施適當(dāng)?shù)脑L問控制機(jī)制，包括身份驗(yàn)證、會(huì)話管理和授權(quán)策略。對(duì)用戶進(jìn)行適當(dāng)?shù)纳矸蒡?yàn)證和授權(quán)，僅允許其執(zhí)行其所需的操作。
2. 驗(yàn)證用戶輸入：應(yīng)該對(duì)所有用戶輸入進(jìn)行嚴(yán)格的驗(yàn)證和過濾，以防止攻擊者通過構(gòu)造惡意輸入來利用越權(quán)漏洞。特別是對(duì)于涉及訪問控制的操作，必須仔細(xì)驗(yàn)證用戶請(qǐng)求的合法性。
3. 最小權(quán)限原則：在分配用戶權(quán)限時(shí)，采用最小權(quán)限原則，即給予用戶所需的最低權(quán)限級(jí)別，以限制潛在的越權(quán)行為。用戶只應(yīng)具備完成其任務(wù)所需的最小權(quán)限。
4. 安全審計(jì)和監(jiān)控：建立安全審計(jì)和監(jiān)控機(jī)制，對(duì)系統(tǒng)中的訪問活動(dòng)進(jìn)行監(jiān)視和記錄。這可以幫助檢測(cè)和響應(yīng)越權(quán)行為，并提供對(duì)事件的審計(jì)跟蹤。