访问控制/越权漏洞 -- 学习笔记

最新推荐文章于 2025-10-10 15:00:21 发布
原创 最新推荐文章于 2025-10-10 15:00:21 发布 · 6.5k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了访问控制的概念,包括垂直与水平访问控制,并详细分析了多种访问控制漏洞,如IDOR、权限提升及多步骤访问控制绕过。通过实际案例,揭示了常见漏洞的检测方法与利用技巧。

目录

访问控制概念

漏洞类型

Lab

1. robots.txt泄露未授权访问页面

2. JS文件暴露未授权访问页面

3. 参数控制的访问权限

4. 响应包参数控制的访问权限

5.  Header头中X-Original-URL参数控制的访问权限

6. 受请求方法控制的访问权限

7. 控制userID的水平越权

8. 随机userID控制的水平越权

9. userID泄露造成的水平越权

10. userID控制的垂直越权

11. 不安全的直接对象引用(IDOR)

常规IDOR

用户注册处的IDOR

邮件订阅中的IDOR

意见反馈中的IDOR

12. Step被跳过的访问控制漏洞

13. Referer控制的访问权限

 

访问控制概念

简单的来说就是应用程序首先会判断用户的身份(账号密码登录),随后确认后续请求是否由该用户发出(会话管理),然后判断是否允许用户执行“所请求的操作”或访问“所请求的资源(访问控制)”

1、从用户角度访问控制模型分为以下类型:

  • 垂直访问控制:控制不同权限等级的用户访问应用程序不同的功能;如“管理员”可以修改/删除账号,而普通账号无法操作。
  • 水平访问控制:控制用户只能访问自己的资源,而不能访问其他用户相同类型的资源;如“银行程序用户只能从自己的账号进行付款,而不能查看其他用户的账户”。
  • 上下文相关的访问控制(多步骤):防止用户以错误的顺序执行操作;如“零售网址阻止用户付款后,修改订单信息”等逻辑顺序。

2、出现访问控制漏洞的原因:

  • 理论上应用程序需要对每一个请求,以及特定用在特定时刻的每一项操作,都需要进行访问控制检查,但是由于该策略是人为设定,所以常常出现安全问题。

 

漏洞类型

应用程序允许攻击者执行某种攻击者没有执行权限的操作,就会出现访问控制漏洞。
三种访问控制模型分别对应着

  • 垂直权限提升
  • 水平权限提升
  • 多步骤访问控制

并且这些漏洞之间没有明确界限,按照漏洞的表现形式和检测方法差异会分为很多不同的类型:

  • 未受保护的功能
  • 基于标识符的访问控制漏洞
  • 基于多步骤的访问控制漏洞
  • IDOR
  • 不安全的访问控制机制
  • 访问控制绕过漏洞

 

Lab

1. robots.txt泄露未授权访问页面

访问robots.txt,可看到隐藏的敏感页面:

直接访问即可

 

2. JS文件暴露未授权访问页面

通过F12查看js代码,发现有敏感页面:

访问即可:

 

3. 参数控制的访问权限

先登录普通用户,发现一个Admin参数控制是否是管理员:

登录普通用户之后,访问管理员页面,将Admin改为true即可访问:

 

4. 响应包参数控制的访问权限

一些访问控制的参数有时候可能不在登录处或者访问敏感页面处,而是在更新一些个人信息的时候。

比如在更改个人邮箱处,以json传输数据:

查看响应包可看到敏感参数roleid,猜测其是控制权限的参数:

在请求头中加入roleid,达到覆盖参数的效果:

回到主页就变成了管理员页面:

 

5.  Header头中X-Original-URL参数控制的访问权限

直接访问管理员页面,未发现可控参数:

回到GET网站目录/,尝试加入X-Original-URL参数,值为随意:

参数成功生效,初步判断X-Original-URL参数可以控制页面的访问。

改变参数X-Original-URL: /admin即可访问特定的未授权页面:

 

6. 受请求方法控制的访问权限

有两个用户,一个是admini

最低0.47元/天 解锁文章
一些绕过403的姿势
weixin_45253622的博客
01-16 7658
端口利用 扫描主机端口,找其它开放web服务的端口;访问其端口。 修改HOST 把host值修改为子域名或者ip来绕过。 覆盖请求 URL 尝试使用 X-Original-URL 和 X-Rewrite-URL 标头绕过 Web 服务器的限制。 Request GET /auth/login HTTP/1.1 Response HTTP/1.1 403 Forbidden Reqeust GET / HTTP/1.1 X-Original-URL: /auth/login Re
黑客入门最值得学习的例子:访问控制漏洞、SQL注入、SQL注入靶场、各种高级的代理工具、不同平台操作系统程序的交叉编译
代码讲故事
12-06 1041
黑客入门最值得学习的例子:访问控制漏洞、SQL注入、SQL注入靶场、各种高级的代理工具、不同平台操作系统程序的交叉编译。
URL混淆与权限绕过技术
kakalalaww的博客
05-05 1584
绕过技术核心利用分号截断、路径跳转、多斜杠干扰、编码混淆等手段制造前后端解析差异。伪造标头(如)或参数篡改直接绕过权限校验。框架特性风险Shiro的分号解析逻辑、Spring Security的路径匹配缺陷是常见漏洞来源。防御核心原则路径处理标准化、权限校验多维度化、输入过滤严格化。
访问控制与权限提升初探
China_I_LOVE的博客
11-06 990
不安全的直接对象引用 (IDOR) 是一种访问控制漏洞,当应用程序使用用户提供的输入直接访问对象时会出现该漏洞。IDOR一词因出现在OWASP 2007十大中而广为人知。但是,这只是可能导致访问控制被规避的许多访问控制实现错误的一个示例。IDOR 漏洞最常与水平权限提升相关,但也可能与垂直权限提升有关。
渗透测试之越权漏洞详解—水平越权、垂直越权、目录越权、SQL跨库查询越权,一篇文章说明白!
最新发布
白帽阿叁的博客
10-10 938
越权漏洞是指用户绕过权限验证,访问或操作超出其权限范围的数据或功能。主要分为水平越权(同级用户互访)和垂直越权(低权限用户访问高权限功能)。漏洞成因包括权限验证不足、前端控制缺陷、参数未校验等。典型场景涉及修改URL/COOKIE参数、多阶段验证绕过等。修复建议包括加强服务器端验证、使用Session绑定用户身份、严格参数检查等。越权漏洞危害严重,可能导致数据泄露或系统被控,需重点关注基础参数、业务逻辑等关键环节的安全防护。
PortSwigger Academy | Access control : 访问控制
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
01-27 2295
文章目录总结访问控制是什么?垂直访问控制水平访问控制上下文相关的访问控制损坏的访问控制示例垂直特权升级未受保护的功能Lab: Unprotected admin functionalityLab: Unprotected admin functionality with unpredictable URL基于参数的访问控制方法Lab: User role controlled by request parameterLab: User role can be modified in user profile
y0usef(vulnhub)
wcl20010的博客
05-08 675
y0usef(vulnhub) 难度不高,学习到的知识很基础 https://www.vulnhub.com/entry/y0usef-1,624/ 目录 1.主机发现 arp-scan -l 2.端口扫描 nmap -p 1-65535 -A 192.168.56.107 -A 强力扫描 直接能发现服务 22/tcp open ssh OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.13 (Ubuntu Linux; protocol 2.0) 80/tcp open h
WEB漏洞挖掘技术
葉落堂
02-01 1919
WEB漏洞挖掘技术|=---------------=[ WEB漏洞挖掘技术 ]=-----------------------------=||=-----------------------------------------------------------------=||=---------------=[ 7all ]=----------------------=||=------
访问控制漏洞和权限提升
Zeker62的博客
08-24 849
什么是访问控制访问控制(或授权)是对谁(或什么)可以执行已尝试的操作或访问他们请求的资源的限制的应用。 在 Web 应用程序的上下文中,访问控制依赖于身份验证和会话管理: 身份验证识别用户并确认他们就是他们所说的人。 会话管理识别同一用户正在发出哪些后续 HTTP 请求。 访问控制确定是否允许用户执行他们试图执行的操作。 损坏的访问控制是一个常见且通常是严重的安全漏洞访问控制的设计和管...
web渗透之越权漏洞-学习笔记分享
weixin_52112965的博客
07-16 825
越权漏洞产生原因+防御+靶场实践
小迪安全学习笔记--第33天:web漏洞-逻辑越权之水平垂直越权全解
zr1213159840的博客
01-17 974
什么是水平越权,什么是垂直越权 水平越权:通过更换的某个ID之类的身份标识,从而使A账号获取(修改、删除等)B账号数据。使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。 垂直越权:通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作。 原理,检测,利用 原理: 前端安全造成:界面,判断用户等级后,代码界面部分进行可选显示,这种判断是不安全的 后端安全造成:数据库 在数据库中的表可能存在以下情况 user表 ​ id,username,password,usertypr ​.
JSP 及其他漏洞 -------学习笔记
tell_me_404的博客
03-09 1030
一、JSP相关漏洞 1、struts2漏洞 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与...
访问控制漏洞和特权升级(Access control vulnerabilities and privilege escalation)学习笔记
汗的博客
05-07 3239
笔者burpsuite的在线安全学院的Access control vulnerabilities and privilege escalation学习笔记。笔者认为这这个的覆盖面比国内俗称的越权要广,所以就直译了。限于本人水平,笔记质量不是很高,假如有看到的大佬轻喷,很多地方是Google翻译的。 文章目录访问控制漏洞和特权升级什么是访问控制访问控制安全模型什么是访问控制安全模型?程序访问控制...
burpsuite 越权_Burpsuite练兵场-访问控制越权漏洞(一)
weixin_42526353的博客
01-17 795
0x30 访问控制越权漏洞(一)在实验开始之前,我们先来介绍一下什么是访问控制访问控制被破坏是一个常见的且严重的业务逻辑安全漏洞,由于访问控制的设计和管理是一个复杂的动态问题,它将业务、组织和法律约束应用到技术实现中,因此导致出现错误的可能性也增加了,访问控制的设计决策应该由人而不是技术来做出。BP学院中也对访问控制进行了详尽的分类:在实际的应用场景中,访问控制通过两个方式实现:身份验证和会话...
什么是访问控制漏洞
实践出真理,接毕设/课设项目开发指导
05-29 682
仅通过隐藏目录判断参数来权限控制是不安全的(爆破url/爬虫/robots.txt/Fuzz/jsfinder)
访问控制漏洞和权限提升 | PortSwigger(burpsuite官方靶场)| Part 3
bin789456的博客
03-23 4800
写在前面 现在是综合应用,来看看横向到纵向的权限提升。 通常情况下,横向权限提升攻击可以变成纵向权限提升,通过危害更高权限的用户。例如,水平升级可能允许攻击者重置或捕获属于另一个用户的密码。如果攻击者以管理用户为目标并破坏了他们的帐户,那么他们可以获得管理访问权限,从而执行垂直权限升级。 User ID controlled by request parameter with password disclosure ...
访问控制漏洞和权限提升 | PortSwigger(burpsuite官方靶场)| Part 1
bin789456的博客
03-18 5089
写在前面 一些概念会直接引用,主要是对于靶场和关键知识点会进行讲解。 靶场链接 资料引用 访问控制概念 简单的来说就是应用程序首先会判断用户的身份(账号密码登录),随后确认后续请求是否由该用户发出(会话管理),然后判断是否允许用户执行“所请求的操作”或访问“所请求的资源(访问控制)” 1、从用户角度访问控制模型分为以下类型: 垂直访问控制:控制不同权限等级的用户访问应用程序不同的功能;如“管理员”可以修改/删除账号,而普通账号无法操作。 水平访问控制:控制用户只能访问自己的资源,而不能访问其他用户相同
五、失效的访问控制漏洞
weixin_46849264的博客
03-04 342
失效的访问控制漏洞是指未对通过身份验证的用户实施正确的访问控制管理,攻击者通过此漏洞访问未授权的功能或者数据。
失效的访问控制漏洞复现
来日可期的博客
09-01 3130
失效的访问控制漏洞是指系统在实施访问控制策略时出现错误或缺陷,导致攻击者能够绕过或越权访问敏感资源。这些错误可能包括缺乏有效的身份验证、授权检查不完整或不正确配置的访问控制列表(ACL)等。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值