“三员系统”中常见的越权问题

越权访问（Broken Access Control，简称BAC）是Web应用程序中一种常见的漏洞，由于其存在范围广、危害大，被OWASP列为Web应用十大安全隐患的第二名。

比如，某个订单系统，用户可以查询自己的订单信息。A用户查询订单时，发送的HTTP请求中包含参数“orderid=A”，订单系统取得orderid后最终会查询数据库，查询语句类似于“select * fromtablename where orderid = A”。B用户查询订单时，发送的HTTP请求中包含参数“orderid=B”，系统查询数据库语句类似于“select * fromtablename where orderid = B”。正常情况下，每个用户只会查询到自己的订单。但是，当B用户将自己的HTTP请求参数修改为“orderid=A”，那么最终B用户执行的数据库语句变成了“select * fromtablename whereorderid = A”，导致A的订单信息被B用户获取到了。

一般来说，网站设计者会用户的访问进行权限校验，确保用户仅能访问到属于自己的资源，但是业务复杂到一定程度之后，诸如此类的数据如此之多，从订单信息，到地址数据、支付信息等等，无一不需要小心处理。一旦有所疏漏，就会产生越权访问漏洞。

越权访问分为垂直越权访问、水平越权访问和交叉越权。

垂直越权是指不同用户级别之间的越权，如普通用户执行管理员用户的权限。水平越权是指相同级别用户之间的越权操作。

1.2.1水平越权

假设用户A和用户B属于同一角色X，拥有相同的权限等级，他们能获取自己的私有数据（数据A和数据B），但如果系统只验证了能访问数据的角色，而没有对数据做细分或者校验，导致用户A能访问到用户B的数据（数据B），那么用户A访问数据B的这种行为就叫做水平越权访问。

1.2.2垂直越权

垂直越权又叫做权限提升攻击。其原理是由于Web应用没有做权限控制，或仅仅在菜单上做了权限控制，导致恶意用户只要猜测其他管理页面的URL，就可以访问或控制其他角色拥有的数据或页面，达到权限提升的目的。

本文以三员系统为例，首先介绍一下三员系统。

三员系统初始就有三个不同权限的管理员：系统管理员、安全保密管理员、安全审计员，三员之间是平级的但主体功能各不相同。此外根据不同Web系统的需求还会出现三员用户的子用户和普通用户，普通用户中可能还会分出不同权限的用户（如：操作员、监控员等等）。

三员系统为了满足保密产品的安全需求导致用户权限划分细致且众多，相较于普通系统权限判断更加繁多也更需细致，因此权限控制难度更高，导致三员系统出现越权漏洞的概率越高

1.3.1三员之间的交叉越权

登录A管理员，执行A管理员的功能x，抓取保存x功能包。退出A管理员，登录B管理员，抓取B管理员的COOKIE，将x功能包中的COOKIE替换成B的COOKIE，发送x功能包。通过响应包或到x功能的Web页面处查看请求是否成功，成功则存在越权漏洞。

以上是越权通用的测试方式，但实际测试中要注意以下几点：

1.一般Web应用是通过COOKIE里的信息来认证用户身份的，但并不是所用Web应用的是如此的。遇到身份认证不是COOKIE的Web应用，要替换的就是该系统认证身份的地方而不是COOKIE。如下图就是COOKIE认证登录状态，jitabc认证用户身份。