一文理解权限类漏洞产生的原因之未授权篇

最新推荐文章于 2025-10-23 11:53:35 发布

原创最新推荐文章于 2025-10-23 11:53:35 发布 · 1.2k 阅读

15 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #网络安全 #web安全 #计算机网络 #网络 #系统安全 #安全架构

0x00

如果大家漏洞挖得多的话，应该有这个共识，各大SRC的漏洞主要以逻辑漏洞居多，常规漏洞不是没有，但是非常少，这主要是得益于功能越来越强大的WAF的存在，以及各种越来越完善的开发框架。

举个例子，比如你前端使用react框架，只要你在框架范围内进行开发，基本上不太可能出现XSS漏洞。

而服务端以Java为例，如果你使用MyBatis框架，严格遵守开发规范，只使用#，而不使用$作为占位符，那么不可能会出现SQL注入。

在逻辑漏洞中，最普遍，也最常见的，当属权限相关的问题了，比如越权、未授权等。

在2021年的OWASP TOP10中，失效的访问控制这一漏洞类型也荣登榜一：

今天我主要从开发的角度和大家分享一下，权限类漏洞中的未授权是怎么产生的~

0x01

首先对于“未授权”，我先简单的给它一个定义（只是我主观的看法）：即我们不需要任何的凭证（无论是请求头传递的token亦或者是cookie），即可正常访问一个服务端的非公开接口。

那什么是非公开接口？比如很多接口，我只有登录后才可以访问的。

那我的实现方式可能是下面这样：

def get_data():  
    if not token_validate():  
        # 如果token验证失败，则返回用户不存在异常  
        return 'user_not_login'  
    return do_get_data()

是不是很简单？那这么简单的逻辑，为什么还会错呢？

第一个可能，那就是开发漏掉了。你没看错，实际的开发场景中，可能有几十上百个接口，并且可能还不是同一个人开发的，漏掉验证逻辑并不是不可能发生。

但是这种场景极少见（比较像野鸡公司的做法）。一般来说，对于这种通用的校验，基本上都是放到拦截器里面来实现的，也就是不管你请求哪个接口，都会先经过拦截器，不需要在每个接口里面去做校验，就像这样：

# 拦截器，所有的方法都会先经过这里  
def token_interceptor():  
    if not token_validate():  
        # 如果token验证失败，则返回用户不存在异常  
        return 'user_not_login'  
    do_next()

但是又不是所有的接口都需要登录后才能访问哦，比如登录接口、找回密码、获取验证码这些，那怎么办？过滤一下咯，比如这样：

def token_interceptor():  
    path = get_path()  
    # 假设需要登录才能访问接口都是/api/xxx，而登录是/login  
    # 只要以/api开头的路径都需要鉴权  
    if path.start_with('/api') and not token_validate():  
        # 如果token验证失败，则返回用户不存在异常  
        return 'user_not_login'  
    do_next()

那这里又有可能出现问题，比如这个规则是小A写的，那小B在实现新接口的时候，没有按这个规则来命名路径，比如写成了这样：/v1/api/get_all_user，那不就妥妥地未授权了。