文章目錄

• 越權漏洞簡介
• 水平越權
• • 概念
  • 常見場景
  • 實例
• 垂直越權
• • 概念
  • 常見場景
  • 實例

越權漏洞簡介

越權，顧名思義，就是超出了權限或權力范圍。多數(shù)WEB應用都具備權限劃分和控制，但是如果權限控制功能設計存在缺陷，那么攻擊者就可以通過這些缺陷來訪問未經(jīng)授權的功能或數(shù)據(jù)，這就是我們通常說的越權漏洞。攻擊者越權后就可以進行一些操作，例如查看敏感信息、進行一些增刪改查的
操作等等。
越權漏洞是一種很常見的邏輯安全漏洞。是由于服務器端對客戶提出的數(shù)據(jù)操作請求過分信任，忽略了對該用戶操作權限的判定，導致修改相關參數(shù)就可以擁有了其他賬戶的增、刪、查、改功能，從而導致越權漏洞。

水平越權

概念

水平越權指的是攻擊者嘗試訪問與他擁有相同權限的用戶的資源，怎么理解呢?比如某系統(tǒng)中有個人資料這個功能，A賬號和B賬號都可以訪問這個功能，但是A賬號的個人信息和B賬號的個人信息不同，可以理解為A賬號和B賬號個人資料這個功能上具備水平權限的劃分。此時， A賬號通過攻擊手段訪問了B賬號的個人資料，這就是水平越權漏洞。

說人話就是平民之間的明爭暗斗。

常見場景

1、基于用戶身份的ID
在使用某個功能時通過用戶提交的身份ID (用戶ID、賬號、手機號、證件號等用戶唯一標識)來訪問或操作對應的數(shù)據(jù)。
2、基于對象ID
在使用某個功能時通過用戶提交的對象ID (如訂單號、記錄號)來訪問或操作對應的數(shù)據(jù)。
3、基于文件名
在使用某個功能時通過文件名直接訪問文件，最常見于用戶上傳文件的場景。

實例

實驗環(huán)境為 pikachu 靶場 over permission 模塊水平越權

我們已事先知道三個賬號：
lucy/123456
lili/123456
kobe/123456

怎么實現(xiàn)水平越權呢？首先我們隨便登錄一個賬號，比如 lucy，同時抓包，發(fā)現(xiàn)顯示了 username & password

放包肯定是能登陸上去的。那我們把 username 改成 kobe 或者 lili 后放包呢？

放包發(fā)現(xiàn)成功登陸了 kobe 的賬戶

這就成功實現(xiàn)了水平越權。想想看，你作為一個平民玩家，隨便改了個 id 就掌握了其他平民（甚至可能是氪金大佬）的信息，豈不是…

我們做點更壞的事，能不能順帶把 kobe 的密碼也一塊改了呢？

放包，發(fā)現(xiàn)登錄失敗。刷新一下，用設置的密碼登錄，還是失敗，說明此處是不能通過水平越權更改其他用戶的信息的。

垂直越權

概念

垂直越權是不同級別之間或不同角色之間的越權，垂直越權還可以分為向上越權和向下越權。向上越權指的是一個低級別用戶嘗試訪問高級別用戶的資源，比如說某個系統(tǒng)分為普通用戶和管理員用戶，管理員有系統(tǒng)管理功能，而普通用戶沒有，那我們就可以理解成管理功能具備垂直權限劃分，如果普
通用戶能利用某種攻擊手段訪問到管理功能，那我們就稱之為向上越權（就是以下犯上）。向下越權是一個高級別用戶訪問低級別用戶信息（那這也是不行的，我們每個人都要有私生活和小秘密）。

常見場景

1、未認證賬戶訪問無需認證就能訪問該功能
2、不具備某個功能權限的賬戶認證后成功訪問該功能

實例

實驗環(huán)境為 pikachu 靶場 over permission 模塊垂直越權

我們已事先知道兩個賬號：
admin/123456
pikachu/000000
admin是超級boss（管理員）

先分別登錄看看，再確定出題人想要我們實現(xiàn)的是向上越權還是向下越權
首先是admin

再是pikachu

發(fā)現(xiàn)唯一的不同是管理員賬戶多了一個添加用戶的功能。猜測此處是要不使用管理員賬戶來獲取添加用戶的功能。

我們先在登錄 pikachu 的時候抓個包看看能不能更改 admin 的密碼

發(fā)現(xiàn)登錄失敗，說明通過普通用戶改管理員密碼是不行的

經(jīng)過排查初步確定是添加用戶這個板塊存在越權了，url是
http://192.168.244.1/pikachu/vul/overpermission/op2/op2_admin_edit.php
查看 op2_admin_edit.php 文件代碼

$link=connect(); // 判斷是否登錄，沒有登錄不能訪問 //這里只是驗證了登錄狀態(tài)，并沒有驗證級別，所以存在越權問題。 if(!check_op2_login($link)){header("location:op2_login.php");exit(); } if(isset($_POST['submit'])){if($_POST['username']!=null && $_POST['password']!=null){//用戶名密碼必填$getdata=escape($link, $_POST);//轉義$query="insert into member(username,pw,sex,phonenum,email,address) values('{$getdata['username']}',md5('{$getdata['password']}'),'{$getdata['sex']}','{$getdata['phonenum']}','{$getdata['email']}','{$getdata['address']}')";$result=execute($link, $query);if(mysqli_affected_rows($link)==1){//判斷是否插入header("location:op2_admin.php");}else {$html.="<p>修改失敗,請檢查下數(shù)據(jù)庫是不是還是活著的</p>";}} }

發(fā)現(xiàn)只判斷了是否登陸，沒有驗證級別，確實存在越權

如何實現(xiàn)越權呢？我們只需要重新登入這個板塊，把url改成
http://192.168.244.1/pikachu/vul/overpermission/op2/op2_admin_edit.php即可

這樣，即使不登陸管理員賬戶，也可以添加用戶

總結

以上是生活随笔為你收集整理的水平越权与垂直越权的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。