【好靶场逻辑漏洞】个人信息处存在越权

0x00 概述

好靶场是一个国内唯一一家以真实SRC报告制作靶场的安全靶场平台。我们可以在好靶场平台上复现漏洞，进行练习。

https://github.com/haobachang-1/haobachangBlog/tree/main

0x01 漏洞解析

越权获取信息漏洞是 Web 应用中常见的权限控制缺陷，指攻击者通过技术手段绕过系统的权限验证机制，非法访问或获取本不应属于自己权限范围内的敏感信息。该漏洞的核心成因是系统未对用户的操作权限进行严格校验，或权限校验逻辑存在设计缺陷。<

具体表现与危害：<

水平越权<**：同一权限级别下的不同用户之间发生的越权访问，例如用户 A 能通过修改请求中的用户 ID 参数，查看到用户 B 的个人信息、订单记录等。<

垂直越权<**：低权限用户获取高权限用户的信息或操作权限，例如普通用户通过构造特殊请求，访问管理员才能查看的用户数据库、后台统计数据等。<

常见攻击路径<**：攻击者通过修改 URL 中的 ID 参数（如<userinfo?id=123改为<userinfo?id=124）、篡改请求头中的身份标识、重复使用已失效的会话令牌（Session ID）等方式，绕过权限校验逻辑。<

危害后果<**：导致用户隐私信息（如手机号、地址、身份证号）、商业敏感数据（如客户列表、交易记录）、系统配置信息等被非法获取，引发数据泄露事件，违反《网络安全法》《个人信息保护法》等法律法规，同时对用户权益和企业信誉造成严重损害。<

下图为乌云找到的漏洞。

0x02 漏洞环境

环境启动地址

0x03 漏洞复现

访问靶场

利用F12查看网络请求信息 发现用户信息通过/api/user/profile?id=1 获取

打开 Burp Suite、Fiddler 等抓包工具，确保代理设置正确（浏览器代理指向抓包工具端口，例：127.0.0.1:8080），拦截目标网站的 HTTP/HTTPS 请求。

重放此请求包 尝试修改id 查看能够获取到其他用户信息

修改id为3获取到flag

0x04 漏洞修复方法

1. 实现严格的权限校验机制
   • 后端强制权限校验：所有涉及信息查询的接口（如用户信息、订单详情、后台数据）必须在后端进行权限校验，不能仅依赖前端隐藏按钮或页面跳转限制。校验逻辑应包含："当前登录用户是否有权访问该资源"、"访问的资源是否属于当前用户"。
   • 基于角色的访问控制（RBAC）<：采用 RBAC 模型管理权限，明确不同角色（如普通用户、VIP 用户、管理员）的权限范围，例如普通用户只能访问自己的信息，管理员可访问全量用户列表但需二次验证。
   • 资源与用户强绑定：查询资源时，后端必须将 "当前登录用户 ID" 与 "待查询资源所属用户 ID" 进行比对，一致才返回数据。例如查询订单时，SQL 语句应强制包含<where user_id = 当前登录用户ID，而非仅依赖前端传递的<order_id。
2. 规范参数传递与校验
   • 避免直接使用用户可控参数作为查询条件<：对于敏感资源（如用户信息、订单），禁止将前端传递的 ID 参数（如user_id、order_id）直接作为数据库查询条件，应通过当前登录用户的会话信息（如 Session、Token）获取用户唯一标识，再拼接查询条件。
   • 参数加密与脱敏：若必须传递资源 ID，应对 ID 进行加密处理（如使用非对称加密、哈希加盐），防止攻击者猜测或篡改 ID。同时，返回数据时对敏感字段（如手机号显示为 138****5678）进行脱敏，降低信息泄露风险。
   • 严格的输入验证：对所有用户输入的参数（尤其是 ID、标识类参数）进行格式校验和范围校验，例如用户 ID 必须为正整数且在合理范围内，不符合规则则直接拒绝请求。
3. 强化会话与身份管理
   • 安全的会话机制：使用随机生成的高强度会话令牌（Session ID），设置合理的过期时间（如 30 分钟无操作自动失效），并在用户登出时立即销毁会话。避免在 URL 中传递会话标识，防止被拦截或记录。
   • Token 权限控制：采用 JWT 等 Token 机制时，需在 Token 中包含用户角色、权限范围等信息，并在服务端验证 Token 的有效性（如是否过期、是否被篡改）。对于高权限操作（如查看敏感数据），可要求用户重新验证身份（如输入密码、验证码）。
   • 防止会话固定攻击：用户登录成功后，应立即刷新会话令牌，避免攻击者利用未登录状态下的会话令牌诱导用户登录，进而获取权限。