# 原理： 邏輯越權本質上來講是設計者或者開發者在思考過程中做出的特殊假設存在明顯或隱含的錯誤。如：如果發生A，一定出現B，因此執行C。開發者沒有考慮到出現X的情形 # 防御： * 最先權限原則設置訪問控制策略 * 敏感/關鍵接口的讀寫增加session鑒權 * 對交易參數進行簽名校驗，防止用戶篡改 * 開發者盡可能多的考慮用戶的反常行為和輸入 # 分類： * 水平越權：攻擊者執行了與自己所屬角色同級別的其他用戶能夠執行的操作。如：注冊某招聘網站成為應聘者后可以看到其他應聘者的簡歷 * 垂直越權：攻擊者執行了額自己所屬角色并不具備權限的操作。如：普通用戶權限瀏覽到管理員才能看到的頁面 # 發現： * 發現隱藏的URL：開發者在菜單欄隱藏URL，攻擊者可以通過google hacking，前端源碼（路由）分析，路徑掃描或利用其它漏洞來發現這些URL * 關鍵請求參數（包括header）中的各種ID：從前端獲取回來的ID直接帶入業務邏輯，未校驗該ID的歸屬，是否為當前登錄用戶 * 看似順序執行的流程：很多功能的實現都需要分階段請求，比如找回密碼，購買商品等。以找回密碼舉例：第一步，對當前需要找回密碼的賬號進行認證，認證通過后到修改密碼的階段二，通過攔截修改請求數據包中的賬號為受害者賬號，如果開發者認為到達驗證通過后的第二階段的用戶一定已經擁有了相關的權限，并在后續階段執行操作是不再對用戶提交的請求進行驗證，那么此時會成功修改掉受害者賬號密碼。類似的還有驗證碼泄露，驗證碼認證繞過，郵箱弱token等 # 自動化思路: 正常使用兩個賬號，在不同的瀏覽器中登錄，互相測試能否對另一方的數據進行越權操作。這個過程設計很多參數修改，比較復雜。但是有兩個思路： * 越權遍歷ID型：爬取收集帶參數ID的url，設置閥值N，對ID參數遍歷N次，N次錯誤則告警并人工處理 * 垂直越權類問題：結合自身業務特點建立不同角色訪問控制模型，準備不同級別的賬戶登錄認證Cookie，掃描器交叉請求，根據返回不滿足模型的就告警輸出，然后人工分析 # 越權場景： * 菜單URL越權訪問：不同角色賬號訪問系統菜單URL不一樣，互相訪問未做限制 * 訂單/用戶等信息遍歷：未校驗ID是否歸屬于當前認證用戶，修改ID，即可水平越權 * 找回/修改密碼：后續階段未做校驗用戶的真實性 * 交易流程：下單階段未校驗訂單數量，價格 # tip： * 看似訪問被403了，但是給請求頭里加一個XFF，設置值為127.0.0.1，即可訪問 * 看似需要驗證碼登錄的后臺，抓包后觀察參數，把POST參數verifycode2換成verifycode繞過驗證碼登錄策略