越权漏洞之测试与修复

这几年，开发人员的安全意识与安全开发水平都有了很大程度的提高。像文件上传、SQL注入漏洞，在网络安全比较受重视的企业，差不多都已经杜绝了，即便有出现，也是凤毛菱角了。目前，部分企业网络安全目前面临的另一大挑战就是越权漏洞，特别是大型系统，功能模块接口特别多，如果未对权限进行全局校验，则难免会有所遗漏，最终出现越权漏洞。

越权，从字面意思不难理解，主要有以下几种可能：

1、未授权访问：本来没有账号（即没有某个功能权限），但是通过越权操作，获取了某个功能权限；

2、水平越权：本来有个账号（即只能操作自己的数据，比如增删改查），但是通过越权操作，能操作其他同等权限账号的数据。

3、垂直越权：本来有个账号只有小权限，但是通过越权操作，获取了大权限。

最简单直接的测试方法是：不登录用户账号，直接访问要测试的功能模块（正常情况是需要登录才能访问），如果能正常访问，则说明存在漏洞。

修改返回包的测试方法：日常测试时，有些开发人员在前端校验返回包中某个参数的值，在返回包中有类似status=false的值，可将改为status=true（也有碰到过code=-1改为code=0或者1的情况）；遇到过最奇葩的一次是：不登录账号直接访问那个系统的后台首页index.html时，返回包主体中通过js脚本,通过script和location跳转到登录页面login.html，通过burpsuite拦截响应表，再将那段用于页面跳转的js脚本删除，就能进入后台。（虽然这种修改返回包的方法最后也没有登录账号，但是进入后台后，能访问一些内部公共的敏感功能模块和信息）。

部分系统，用户信息并不是从sessionid中获取登录账号；而是在cookie中添加一个类似userid的键值对，再从中识别用户。从而可以尝试通过cookie伪造的方法进行测试。

水平越权常见于业务系统中，对用户信息或者订单信息进行增删改查操作时，由于用户编号或者订单编号有规律可循（有序递增，订单编号常发现以日期开头后面再接几位有序增长的数字，类似20200520xxxx1，20200520xxxx2），测试人员通过burpsuite的 intruder对目标参数进行遍历测试即可

日常安全测试时，大多发现是未授权访问和水平越权。只碰到过一次将cookie中的isadmin=0改为isadmin=1，获取到管理员权限。苦于黔驴技穷，有幸某天灵光一现，想到测试任意文件上传和下载漏洞时，都能借助../和./进行绕过，垂直越权时，何不也尝试借助../和./进行绕过呢，最终果然发现新大陆。最后经过反复测试发现以下几种垂直越权测试方法。

//admin.do

/admin.do%23

js/../admin/admin.do

/./admin.do

建议做一个过滤器，对权限进行全局校验（每次调用某个接口时，可先对权限进行校验）。大体流程是：第一步清洗URL地址，并提取Api接口名称；第二步从session中提取当前登录用户的userid；第三步提取当前用户的角色id；第四步判断当前用户对应的角色是否有权限访问当前Api接口（检查垂直越权）；最后判断当前登录用户是否对目标对象有操作权限（检查水平越权）。

首先是获取URL地址中的Api接口名称，这里对URL地址进行了一次URL解码，还是存在绕过的风险，因为当用户%2523时，就可能绕过。

获取userid时，建议从session中获取，而不是在cookie中再新建一个userid字段，用于标识用户身份。