1. 越权漏洞Web安全的隐形杀手第一次接触越权漏洞是在三年前的一次渗透测试中当时客户系统有个查看订单详情的功能我无意间发现修改URL中的订单ID就能看到别人的订单信息。这种看似简单的漏洞实际上危害极大——根据Verizon《2023年数据泄露调查报告》越权漏洞导致的数据泄露占比高达35%。越权漏洞就像银行柜员搞混了客户存折水平越权相当于把A客户的存款信息展示给B客户垂直越权则像是普通柜员突然获得了行长权限。Pikachu靶场作为国内知名的Web安全学习平台完美复现了这些场景。我用它带新人训练时90%的学员都能在10分钟内完成首次越权攻击这说明漏洞的利用门槛极低。2. 水平越权同级别用户的权限失控2.1 Pikachu靶场实战演示在Pikachu靶场的水平越权实验区系统提供了两个测试账号用户Avince/123456用户Ballen/123456登录vince账户后打开查看个人信息页面URL显示为http://localhost/pikachu/vul/overpermission/op1/op1_mem.php?usernamevince此时只需将username参数改为allen页面立即返回allen的个人信息。我让学生们尝试时有个有趣的发现即使把参数改成不存在的用户名系统也会返回数据库错误而非权限拒绝这说明后端完全没有做权限校验。2.2 漏洞原理深度剖析查看靶场源码op1_mem.php关键代码如下$username $_GET[username]; $sql SELECT * FROM member WHERE username$username; $result execute($sql);这里存在三个致命问题直接信任客户端传入的username参数查询时未关联当前登录用户的session错误处理暴露了数据库结构在实际项目中我还遇到过更隐蔽的变种某电商系统通过加密的userID参数看起来安全但加密算法可逆攻击者只需枚举其他用户的加密ID即可实现越权。3. 垂直越权低权限用户的高危操作3.1 Cookie替换攻击实战Pikachu的垂直越权实验需要两个账号管理员admin/123456普通用户pikachu/000000操作流程值得每个开发者警惕用admin账户创建新用户用Burp Suite拦截POST请求记录请求中的CookiePHPSESSIDadmin_session_id登录pikachu账户用admin的Cookie替换当前Cookie重放创建用户请求系统成功执行高权限操作3.3 权限体系设计缺陷问题出在op2_admin_edit.php的权限校验逻辑if(!empty($_SESSION[username])){ // 执行管理员操作 }这种登录即授权的设计在早期CMS系统中很常见。去年审计某政府系统时我发现其权限校验仅依赖前端隐藏菜单后端接口完全没有验证攻击者直接调用API就能完成越权操作。4. 立体化防御方案4.1 代码层防护**强制访问控制MAC**实现示例// Spring Security权限注解 PreAuthorize(hasPermission(#orderId, Order, read)) public Order getOrder(String orderId) { // 业务逻辑 }参数过滤的黄金法则白名单验证只允许已知好的输入上下文编码输出前根据场景进行HTML/URL编码业务逻辑校验订单查询必须验证所属用户4.2 架构层防护推荐采用RBAC基于角色的访问控制模型我在金融项目中的实践是权限粒度控制到API级别敏感操作强制二次认证所有请求经过统一的权限网关某次攻防演练中我们在API网关增加了请求指纹校验成功拦截了90%的越权尝试包括修改请求参数重放其他用户请求特权接口未授权调用5. 持续安全实践建议开发团队建立三道防线代码审计使用Checkmarx等工具扫描越权漏洞渗透测试定期进行越权专项测试监控预警对异常权限行为实时告警最近帮某互联网公司修复越权漏洞时我们通过日志分析发现攻击者通常会在凌晨尝试批量遍历ID。于是增加了请求频率限制和异常行为检测有效降低了风险。安全是个持续过程就像我常对团队说的今天的防护措施可能明天就会过时保持警惕才是最好的防御。