一场由越权引发的奶茶惨案

场景	常见的ID例子	说明
个人信息	身份证号、护照号、姓名	在国家范围内唯一标识一个公民。
网络与科技	用户名、用户UID、手机IMEI号、MAC地址	在网站、App或硬件设备中唯一标识一个用户或设备。
工作学习	员工号、学号	在公司或学校内部唯一标识一个员工或学生。
商品与资产	商品条形码、图书ISBN号、汽车车架号	唯一标识一个产品或资产。
计算机科学	数据库中的主键、进程ID	在数据库或操作系统中唯一标识一条记录或一个进程。

逻辑漏洞

概述：

逻辑漏洞，顾名思义，是程序在业务逻辑或工作流程的设计与实现上存在的缺陷。它不同于传统的“缓冲区溢出”或“SQL注入”等技术性漏洞，攻击者不是通过技术手段攻破系统，而是像“找茬”一样，利用程序在逻辑上的不合理之处，进行非预期的操作。

简单来说：程序在做它被设定要做的事情，但这个设定本身是愚蠢或有缺陷的，从而被攻击者利用。

情景：狡猾的Zero

某某咖啡店推出活动：

规则： 每买一杯咖啡，得一个印章。集满10个印章，可免费换一杯咖啡。

这里存在一个潜在的逻辑漏洞：

正常逻辑： 顾客消费 -> 获得印章 -> 集满10个 -> 兑换一杯免费的。

漏洞利用： 狡猾的Zero发现，店员在兑换免费咖啡时，并不会核销（划掉）那个盖满10个章的印章页。于是，他就可以反复使用同一张集满章的卡片来无限兑换免费咖啡。

这个漏洞的根源在于业务逻辑设计不完整：只设计了“验证是否集满10个章”，却没有设计“在兑换后使凭证失效”这个关键步骤。

常见的逻辑漏洞类型：

1. 权限提升
    垂直越权：普通用户获得了管理员的权限。
    水平越权：用户A能操作用户B的数据。
2. 业务逻辑绕过
    支付漏洞：修改支付金额为0.01元。
3. 竞争条件
    薅羊毛：攻击者使用脚本，在极短时间内同时发送数十个领取请求。
4. 密码重置漏洞：
    暴力轰炸，骚扰用户。

权限是啥？

概述：

权限是一个主体（如用户）对某个客体（如数据、功能）进行某种操作的许可。简单来说，它就是系统在问：“你有资格做这件事吗？”

核心作用：控制访问

权限的核心目的是为了实现 “最小权限原则” ，即只授予用户完成其任务所必需的访问权，不多不少。

权限如何分配？——基于角色的访问控制（RBAC）

基于角色的访问控制(RBAC)是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消，并且提供角色分配规则。RBAC包括用户(U)、角色(R)、会话(S)和权限(P)四个基本要素。访问权限与角色相关联，角色再与用户关联，实现了用户与访问权限的逻辑分离。便于授权管理，便于根据工作需要分级，便于赋予最小特权，便于任务分担，便于文件分级管理。

典型信息系统中的权限管理模型：

基于RBAC的权限设计方案：

权限是系统中受控的、可执行的操作许可。它通过“角色”这一中介被赋予“用户”，其核心目的是在复杂的协作环境中，确保合适的人只能访问合适的资源，从而保障系统的安全、稳定和数据隐私。

越权访问漏洞

越权访问

越权访问（Broken Access Control，简称BAC)是Web应用程序中一种常见的漏洞，所谓越权，就是绕过权限限制或者在权限限制不够严格的情况下去访问原来不应该访问到的资源。在OWASP Top 10中，排名高，容易出洞。（曾梦想仗剑走天涯，看尽世间浮华，后来为了挖洞没去！！！)

你可以把越权漏洞理解为数字世界里的 “钥匙滥用”。

想象一下，你住在一栋公寓楼里，你的钥匙（权限）本来只能打开你自己的家门（数据）。但有一天你发现，这把钥匙居然能打开邻居的家门，甚至能打开整栋楼的总电闸房（管理员功能）。这就是“越权”。

越权漏洞

越权漏洞，也称为访问控制缺陷，是指应用程序未能对用户访问其资源或执行操作实施严格的身份和权限验证，导致攻击者能够绕过授权机制，访问到本应被限制的数据或功能.

产生原因

开发人员犯了一个关键错误：将“身份认证”与“权限授权”混为一谈。

身份认证：解决“你是谁？”的问题。系统通过登录确认了你是“用户A”。
权限授权：解决“你能做什么？”的问题。系统应该校验“用户A是否有权操作资源B”。

漏洞就产生于完成了第一步后，遗漏或错误地执行了第二步。

代码示例：

假设一个查看用户资料的接口：

# 错误示例：过分信任客户端请求，遗漏权限判定
@login_required # 只验证了用户已登录（身份认证）
def get_user_profile(request):
user_id = request.GET.get('user_id') # 直接从客户端获取目标用户ID
user = User.objects.get(id=user_id) # 直接查询，未做权限校验
return render(request, 'profile.html', {'user': user})

在这段代码中，只要用户登录了，他就可以通过修改 user_id 查看网站上任何人的资料。

越权漏洞产生的根本原因可以归结为一个简单的逻辑链条：

开发误区：`用户已登录` => `用户可以执行任何他发起的请求`
导致行为：对客户端请求的数据（如ID、参数、端点）过分信任
具体表现：在数据增、删、改、查时，遗漏了将“请求资源”与“当前用户权限”进行绑定的判定
最终结果：攻击者通过篡改URL或请求参数，即可访问或操作本应无权访问的资源。

漏洞主要类型

1. 水平越权

定义：相同级别的用户之间，能够互相访问对方的数据。
关键问题：系统只验证了“你是否登录”，但没有验证“你要操作的数据是否属于你”。
经典例子：

- 在网址 https://example.com/order?id=12345 中，你（用户A）通过修改 id=12346，就能看到用户B的订单详情。
- 修改请求参数中的用户ID，从而将资金转账给任意账户，或从任意账户扣款。

2. 垂直越权

定义：低权限用户获得了高权限用户才能使用的功能。
关键问题：系统没有对敏感功能接口进行严格的权限等级检查。
经典例子：

- 一个普通用户通过直接输入URL https://example.com/admin/deleteUser.php，就能访问并执行管理员的后台功能。
- 通过抓包修改请求，将普通文章发布的API请求，伪装成一篇需要审核才能发布的“头条新闻”的请求。

越权漏洞--->都是同级，看你点东西咋啦？

一、概述

水平越权 指的是在同一个权限级别的用户之间，用户A能够非授权地访问、操作、修改用户B的数据。

核心特点：

权限级别相同：攻击者和受害者都是普通用户、都是VIP、都是同一个部门的员工等。
操作对象是数据：目标是其他用户私有的数据，如订单、个人信息、邮件、购物车等。
漏洞根源：系统在处理请求时，只验证了“用户是否登录”，但没有验证“当前登录的用户是否有权操作他请求的这份特定数据”。

类比：

你和你邻居都住在同一层公寓（权限级别相同），你们的钥匙本应只能打开各自的家门（数据）。但如果你发现你的钥匙能打开邻居的门，这就是水平越权。

二、利用方式

攻击者一旦发现可能存在水平越权的端点，会通过以下多种方式进行利用。核心思路就是：篡改请求中标识“数据归属”的参数。

1. 修改URL参数（最常见）

这是最直接的方式，通过修改浏览器地址栏或API请求中的参数来实现。

示例1：查看他人订单

- 正常请求：https://shop.com/orderDetail?orderId=12345 (这是用户A自己的订单)
- 越权操作：将 orderId=12345 改为 orderId=12346，如果成功看到用户B的订单详情，即存在漏洞。

示例2：查看他人个人信息

- 正常请求：https://social.com/user/profile?userId=1001
- 越权操作：修改 userId=1001 为 userId=1002，即可查看用户B的私密资料。

2. 修改POST请求体

对于通过POST方法提交的请求，攻击者会使用抓包工具（如Burp Suite, OWASP ZAP）拦截并修改请求体中的数据。

示例：修改他人收货地址

- 正常流程：用户A登录后，在“我的地址”页面修改自己的地址，浏览器会发送一个POST请求。
- 抓包拦截：请求体可能为 addressId=5&newAddress=北京...。
- 越权操作：攻击者将 addressId=5 (自己的地址ID) 修改为 addressId=8 (猜测是用户B的地址ID)，然后转发请求。如果系统成功修改了用户B的地址，则漏洞利用成功。

3. 修改Cookie或Token中的ID

有时，用户身份标识并非通过参数传递，而是存在于Cookie或自定义Token中。如果这个标识可以被解密或篡改，也会导致水平越权。

示例：Cookie中存在一个明文的 current_user_id=101。攻击者将其修改为 current_user_id=102，刷新页面后，系统可能就以用户B的身份加载数据了。

4. 直接访问静态资源链接

系统生成的一些用于访问私有文件的链接（如身份证照片、报告PDF）如果可被预测，也会导致水平越权。

示例：用户A的身份证照片链接是 https://app.com/uploads/user_101_id_card.jpg。
越权操作：攻击者直接访问 https://app.com/uploads/user_102_id_card.jpg，如果服务器没有做权限校验，就能直接下载用户B的身份证照片。

三、漏洞利用流程

假设一个名为“***”的电商平台存在水平越权漏洞。

攻击步骤：

reconnaissance（信息收集）：

- 攻击者用自己的账号（用户A）正常登录“易购网”。
- 打开浏览器开发者工具，查看“我的订单”页面发起的网络请求。

定位脆弱参数：

- 发现请求的API端点为：GET /api/order?orderNo=ORDER20240001A
- 返回了用户A的订单JSON数据。

发起越权测试：

- 攻击者推测用户B的订单号可能为 ORDER20240001B。
- 直接在浏览器中访问：https://egou.com/api/order?orderNo=ORDER20240001B

验证漏洞：

- 服务器返回了状态码 200 OK，并且返回了用户B的完整订单信息（包括姓名、地址、商品、价格）。
- 水平越权漏洞确认！

自动化利用（如果需要）：

- 攻击者可以编写一个简单的Python脚本，通过顺序或随机生成订单号，批量爬取全站用户的订单数据。

四、源码分析

以下为某网站水平越权漏洞代码层面的分析：

漏洞分析：

权限校验缺失：代码只检查用户是否登录，但没有验证当前登录用户是否有权查看其他用户的信息
直接使用请求参数：直接从$_GET['username']获取用户名进行查询，没有与登录会话绑定
无所有权验证：登录用户可以查看系统中任意用户的信息，只要知道用户名

源码：

$link=connect();
// 判断是否登录，没有登录不能访问
if(!check_op_login($link)){
    header("location:op1_login.php");
}
$html='';

// 漏洞点：存在水平越权
// 只验证了登录状态，没有验证用户权限
if(isset($_GET['submit']) && $_GET['username']!=null){
    // 安全风险：直接使用客户端传入的用户名进行查询
    // 应该从session中获取当前登录用户的用户名，而不是从GET参数获取
    $username=escape($link, $_GET['username']);
    
    // 问题SQL：允许用户查询任意其他用户的信息
    $query="select * from member where username='$username'";
    $result=execute($link, $query);
    
    if(mysqli_num_rows($result)==1){
        $data=mysqli_fetch_assoc($result);
        $uname=$data['username'];
        $sex=$data['sex'];
        $phonenum=$data['phonenum'];
        $add=$data['address'];
        $email=$data['email'];

        // 显示其他用户的敏感信息 - 水平越权
        $html.=<<<A
<div id="per_info">
   <h1 class="per_title">hello,{$uname},你的具体信息如下：</h1>
   <p class="per_name">姓名:{$uname}</p>
   <p class="per_sex">性别:{$sex}</p>
   <p class="per_phone">手机:{$phonenum}</p>    
   <p class="per_add">住址:{$add}</p> 
   <p class="per_email">邮箱:{$email}</p> 
</div>
A;
    }
}

总结

水平越权是逻辑漏洞的“入门款”，因其原理简单、出现频率高而成为Web安全的重点检测对象。其利用方式的核心就是 “替换标识符” 。对于开发而言，防御的关键在于：在处理每一个数据访问请求时，必须在服务端严格校验“当前登录用户的ID”是否与“被请求数据的所有者ID”相匹配，绝不能仅仅依赖客户端传来的参数做权限判断。

越权漏洞--->我是管理员！！你能拿我咋？

一、概念

垂直越权 指的是一个低权限的用户（如普通用户）能够非授权地访问或执行高权限用户（如管理员、VIP）才能使用的功能。

核心特点：

权限级别不同：攻击者从一个低级角色（如“用户”）提升到了高级角色（如“管理员”）。
操作对象是功能：目标是高权限独有的功能，如用户管理、系统配置、内容审核、查看所有数据等。
漏洞根源：系统在对敏感功能或页面的访问控制上存在缺陷，没有在服务端严格校验执行当前操作的用户的角色或权限级别。

类比：

你本是公司的一名普通员工，但你发现可以通过某种方式进入CEO的办公室，并使用他的电脑审批财务预算、查看所有人的人力档案。这就是垂直越权。

二、漏洞利用方式

攻击者的目标是找到那些本该对高级别用户隐藏或保护起来的功能接口，并尝试调用它们。

1. 直接访问隐藏或未公开的URL（最常见）

这是最“粗暴”有效的方式。许多Web应用的管理后台有其固定的路径。

示例：猜测管理员后台地址

- 攻击者以普通用户身份登录后，直接在浏览器地址栏输入：

- - /admin
  - /manager
  - /backend
  - /administrator

- 如果系统没有进行二次权限校验，直接进入了管理员后台，漏洞利用成功。

2. 修改请求参数以提升权限（权限参数篡改）

在请求中存在某些参数直接或间接地标识了用户的权限等级，修改它们可能直接提升权限。

示例1：修改Cookie或Token中的角色标识

- 普通用户登录后，Cookie中可能包含 role=user。
- 攻击者通过浏览器插件或抓包工具将其修改为 role=admin，刷新页面后，整个前端的UI和后端的API都可能将其视为管理员。

示例2：修改POST请求中的权限字段

- 在用户注册或修改资料的请求中，拦截并添加或修改如 "role": "administrator" 的字段。
- 在某些设计不良的系统中，这可能导致用户的角色被直接提升。

3. 功能滥用（普通用户界面中的管理员功能）

有时，高权限的功能会意外地出现在低权限用户的界面上，只是被前端隐藏了（如通过 display: none 或 disabled）。但对应的API接口仍然可以被调用。

示例：前端隐藏的“删除用户”按钮

- 在普通用户的页面上，HTML中可能存在一个被隐藏的“删除用户”按钮：<button id="deleteUser" style="display: none;">Delete User</button>。
- 攻击者通过浏览器控制台使该按钮可见并点击它，或者直接找到其调用的API（如 POST /api/deleteUser）并手动发送请求。如果服务端没有校验权限，删除操作就会被执行。

4. 配置错误的访问控制列表（ACL）

系统可能对某些高权限API的访问控制配置不当，导致其意外地对低权限用户开放。

示例：本应只允许 ROLE_ADMIN 访问的 GET /api/allUsers 接口，错误地配置为也允许 ROLE_USER 访问。普通用户直接访问该接口就能获取所有用户列表。

三、漏洞利用流程

假设一个内容管理系统（CMS）存在垂直越权漏洞。

攻击步骤：

信息收集与猜测：

- 攻击者使用普通账号 user01 登录系统。
- 他猜测管理员的文章审核页面可能为 /admin/pending-articles。

直接访问测试：

- 在已登录的状态下，直接在浏览器中访问 https://cms.com/admin/pending-articles。
- 页面成功加载，展示了所有待审核的文章列表。垂直越权漏洞确认！

进一步利用（权限参数篡改）：

- 攻击者注意到，在审核文章时，浏览器会发送一个请求：POST /api/article/review，其请求体为 {"articleId": 123, "action": "approve"}。
- 他尝试使用自己的普通账号身份，直接发送这个POST请求来审批一篇本应由管理员审批的文章。
- 请求成功，服务器返回 {"status": "approved"}。这证实了他不仅可以查看，还可以执行管理员的操作。

扩大战果：

- 通过同样的方式，攻击者可以遍历其他管理员功能，如创建新用户、删除文章、修改系统设置等。

四、漏洞分析：

admin.php - 相对安全

$link=connect();
// 判断是否登录，没有登录不能访问
// 双重验证：既验证登录状态，又验证权限级别(level=1)
// 这种验证方式相对安全，防止了垂直越权
if(!check_op2_login($link) || $_SESSION['op2']['level']!=1){
    header("location:op2_login.php");
    exit();
}

//删除操作 - 需要管理员权限
if(isset($_GET['id'])){
    $id=escape($link, $_GET['id']);//转义，防止SQL注入
    $query="delete from member where id={$id}";
    execute($link, $query);
    // 注意：这里缺少操作成功与否的反馈和重定向
}

admin_edit.php - 存在垂直越权

$link=connect();
// 漏洞点：只验证登录状态，没有验证权限级别
// 任何登录用户都可以访问管理员功能，存在垂直越权
if(!check_op2_login($link)){
    header("location:op2_login.php");
    exit();
}

// 添加用户操作 - 这应该是管理员专属功能
if(isset($_POST['submit'])){
    if($_POST['username']!=null && $_POST['password']!=null){//用户名密码必填
        $getdata=escape($link, $_POST);//转义，防止SQL注入
        // 问题：普通登录用户可以执行添加用户操作
        $query="insert into member(username,pw,sex,phonenum,email,address) values('{$getdata['username']}',md5('{$getdata['password']}'),'{$getdata['sex']}','{$getdata['phonenum']}','{$getdata['email']}','{$getdata['address']}')";
        $result=execute($link, $query);
        if(mysqli_affected_rows($link)==1){//判断是否插入成功
            header("location:op2_admin.php");
        }else {
            $html.="<p>修改失败,请检查下数据库是不是还是活着的</p>";
        }
    }
}

漏洞总结：

admin.php：安全措施较好，进行了双重验证
admin_edit.php：存在严重的垂直越权漏洞，普通用户可以执行管理员功能

总结

垂直越权是系统安全的“致命伤”，它可能导致整个系统被攻陷。其利用方式的核心是 “找到并调用高权限功能接口”。

防御垂直越权的根本在于：

服务端强制授权检查：对每一个请求，不仅在控制器入口检查用户是否登录，更要检查用户的角色/权限是否足以执行该操作。
默认拒绝原则：除非显式允许，否则默认拒绝所有访问。
避免将权限信息存放在客户端：不要依赖前端隐藏元素或客户端Token中的角色字段来做最终权限判断，所有权限逻辑必须在服务端处理。

简单来说，系统必须在每次处理敏感请求时都问一遍：“当前登录的这个用户，真的有资格做这件事吗？”

越权拓展：多方式越权

1.上下文越权攻击

一、概述

上下文越权攻击，也称为不安全的直接对象引用（IDOR） 的一种特殊形式，或状态机破坏。它发生在当一个用户在一个多步骤的流程中，能够绕过或跳过某些必要的步骤，或者以错误的顺序执行它们，从而达成非预期的恶意操作。

核心问题： 应用程序在处理一个依赖于上下文的请求时，没有验证这个请求在当前的会话状态或业务流程中是否是合法的。

二、类比：自助餐厅的用餐流程

想象一个自助餐厅的正常流程是：

在门口付款（获取资格）
领取餐盘和餐具（获取工具）
依次取用食物（执行操作）
离开

一个 上下文越权 攻击就像：

攻击方式A（跳过步骤）：一个人从后门溜进餐厅，直接开始取食物（他跳过了“付款”这个前置上下文）。
攻击方式B（乱序执行）：一个人吃完食物后，再走到门口要求付款，并声称自己没吃，从而试图赖账（他颠倒了“付款”和“取食”的顺序）。
攻击方式C（重复步骤）：一个人付了一次钱，但反复进出餐厅，吃了好几顿（他滥用了“已付款”这个状态）。

三、利用方式

1. 跳过强制步骤

应用程序要求用户必须完成步骤A才能进行步骤B，但服务端没有在步骤B验证“步骤A是否已完成”。

2. 滥用令牌或状态参数

应用程序使用客户端传来的参数（如 stage=2, completed=true）来标识流程状态。

3. 并行流程竞争

用户利用极短的时间差，同时发起多个请求，以利用系统在处理这些请求时可能出现的状态不一致。

4. 直接引用未完成的对象

在流程未完成时，系统就生成了最终资源的可访问链接，且未做权限控制。

总结

上下文越权攻击的本质是应用程序 “有流程，无状态”——它设计了一个完美的业务流程，但在服务端却没有严格跟踪和执行这个流程的状态。它过度信任客户端会按照设计好的路径一步步走完。

2.级联越权原理

一、核心定义

级联越权，也称为链式越权，它不是一种独立的越权类型，而是水平越权或垂直越权的一种高级和组合形式。

它指的是：攻击者通过一个初始的、有限的越权操作（比如修改一个自己能控制的对象A），触发系统内部的某种关联逻辑或数据同步机制，从而间接获得了对另一个本无权访问的对象B（甚至对象集合）的越权访问能力。

简单来说： 你不是直接去拿你想要的东西，而是通过推动一个“多米诺骨牌”，让整个系统链条倒下，最终让你想要的东西滚到你面前。

二、类比：控制门禁卡权限的Excel表

想象一个公司的门禁系统：

正常逻辑：

1. 人力资源部在一个名为 authorized_users.xlsx 的Excel表格里维护着所有有权限进入研发实验室的员工ID。
2. 门禁系统每天凌晨从这个Excel表读取数据，更新自己的权限列表。

级联越权攻击：

1. 攻击者张三（一个销售部员工）发现自己可以通过一个公司OA系统（存在水平越权漏洞）修改这个 authorized_users.xlsx 文件，把自己的员工ID加进去。
2. 他完成了这个修改。
3. 第二天，门禁系统自动从被篡改的Excel表中读取数据，将张三的ID加入到实验室的授权列表中。
4. 张三现在可以刷卡进入研发实验室了（实现了垂直越权）。

在这个例子中：