当前位置：首页 > news >正文

【SRC漏洞挖掘系列】第07期：越权访问（IDOR）—— 隔壁老王的故事

news 2026/6/19 23:04:36

上期回顾：我们学会了把 100 块钱变成 1000 块（并发竞争）。今天聊点更“缺德”的——越权访问（IDOR）。
俗话说：“看好自己的门，管好自己的人。” 但在互联网上，很多人连门都没锁。🚪

一、什么是越权？（通俗版）

想象一个小区（网站），每家每户都有一个门牌号（ID）。

水平越权：你本是 101 室的业主，结果你拿着 102 室的钥匙也能开门，进去偷看老王的内衣颜色。
垂直越权：你本是普通住户（普通用户），结果你拿到了物业经理的万能卡，直接把小区大门卖了。

技术定义：Insecure Direct Object Reference (IDOR) —— 由于访问控制缺失，导致用户可以操作不属于自己权限范围内的数据。

二、水平越权：窥探隐私的“万能钥匙”

这是 SRC 里数量最多的漏洞，因为开发最容易忘。

1. 经典场景：查看订单

正常请求：

http

GET /order/detail?order_id=10001 HTTP/1.1 Cookie: user=A

攻击请求：

http

GET /order/detail?order_id=10002 HTTP/1.1 Cookie: user=A

结果：User A 看到了 User B 的订单详情（收货地址、电话、身份证号）。

危害：严重信息泄露。SRC 通常给高危。

2. 修改他人资料

请求包：

http

POST /user/update { "user_id": 10001, // 这是我的ID "nickname": "我是大帅比" }

操作：把user_id改成10000（管理员ID）。

结果：把管理员的昵称改成了“我是大帅比”。😎

（如果只是改昵称，评级中危；如果能改管理员的密码或邮箱，直接 Critical）。

三、垂直越权：平民变皇帝

1. 后台功能的“裸奔”

很多网站的后台接口根本不做权限校验。

流程：

普通用户登录，抓包。
访问普通接口：/api/user/info。
猜测后台接口：/api/admin/addUser。
直接访问：POST /api/admin/addUser {"username":"hacker"}。
结果：普通用户直接给系统添加了一个管理员账号。

2. 前端藏匿（Hidden in JS）

有些按钮（如“删除用户”）在普通用户界面是隐藏的。

误区：以为隐藏了就安全了。

真相：JS 文件里写死了接口地址。只要抓包找到那个接口，照样能执行。

四、实战案例：如何把“老王”踢下线？

这是一个真实的 SRC 挖掘思路（虚构案例）：

抓包：登录我的账号，看到请求里有uid=12345。
遍历：用 Burp Intruder 跑uid=12340到uid=12350。
发现：访问uid=12344时，返回了大量用户隐私数据（包括手机号、住址）。
升级：尝试修改uid=12344的用户信息，发现可以修改密码。
报告：提交“批量用户账号接管漏洞”。
奖金：到账 5000 元。💰

五、绕过技巧：ID 的“变脸”

有时候开发做了防护，但很弱。

1. 编码绕过

明文：user_id=1
编码：user_id=MTIzNA==(Base64)
哈希：user_id=cbf7198176a809f32c6a0eacc0d5f067(MD5 of 1234)
操作：把数字 ID 换成对应的编码格式，也许就能绕过正则匹配。

2. 弱比较（PHP 特性）

在 PHP 中，1 == '1admin'是成立的。

Payload：user_id=1admin可能等同于user_id=1。

3. UUID 不可预测性

如果网站用的是 UUID（如a1b2-c3d4-e5f6），很难遍历。

对策：去 JS 文件里找，或者去泄露的接口里找其他用户的 UUID。

六、SRC 报告中的“避坑指南”

行为	后果
批量遍历 10 万用户数据	封号/报警。证明漏洞只需 2-3 个账号。
修改他人密码并登录	高危违规。证明可以修改即可，不要登录。
删除他人数据	直接拉黑。这是破坏性测试。

正确姿势：

截图证明“我（A）能看到他（B）的数据”即可，不要做任何修改操作。

七、互动与思考

💬 互动话题：

大家挖越权时，最喜欢用什么字典？是user_id、uid、accountId还是openid？

有没有遇到过那种“把id=1改成id=2直接给我返回了 CEO 简历”的爽文剧情？😂

⚠️ 法律红线警示

严禁利用越权漏洞登录他人账号、查看大量用户隐私数据（如通讯录、聊天记录）。
严禁进行“遍历测试”（例如写个脚本跑 1-10000 导出全站数据），这涉嫌非法获取公民个人信息罪。
严禁修改、删除他人的关键数据（余额、订单、密码）。
测试原则：
- 仅测试与自己相关的两个账号（账号A越权看账号B）。
- 仅读取元数据（如头像、昵称），不要触碰敏感信息（如手机号、身份证）。
- 发现漏洞，立即停止，截图上报。
  技术是放大镜，不是透视镜。请尊重他人的隐私，守住法律的底线。 🛡️