逻辑漏洞测试系列-水平越权漏洞

在HTTP抓包测试工具中，打开拦截开关
，回到内置浏览器中，再次

，回到内置浏览器中，再次点击 查看个人信息：

发现请求信息中存在“username=kobe”，其中 kobe 为我们当前的账号，如果修改为被测试账号是否能获得对应的信息呢？

关闭拦截后
回到内置浏览器查看：

回到内置浏览器查看：

越权访问漏洞（Insecure Direct Object References，IDOR）指的是应用程序在验证用户对资源或功能的访问权限时出现的漏洞。具体来说，这种漏洞允许攻击者直接访问应用程序中的对象（例如文件、数据库记录、URL等），而无需经过适当的身份验证或授权检查。越权漏洞一般又分为垂直越权漏洞和水平越权漏洞。

本文中的漏洞为水平越权漏洞。水平越权是指攻击者通过利用系统或应用程序中的逻辑错误，以获取其他用户相同权限级别下的资源或执行操作的漏洞。这种漏洞不涉及直接绕过权限验证机制，而是利用应用程序设计中的逻辑缺陷或错误，使攻击者能够访问其当前权限级别下其他用户的敏感数据或功能。

解决方案：

1. 实施严格的访问控制机制：应用程序应该在每次访问敏感资源或执行敏感操作时，都进行适当的身份验证和授权检查。这包括验证用户的身份，并检查其所请求的资源是否属于他们的权限范围之内。例如，只允许用户访问其自己的数据，而不是其他用户的数据。

2. 最小化权限原则：用户应该只被授予他们需要的最低权限来完成其工作。这意味着应用程序应该限制用户对敏感资源的访问，并仅授予他们执行其任务所需的最小权限。

3. 使用安全的标识符：对于每个资源或操作，都应使用安全的标识符来标识用户和资源。这样可以防止攻击者通过修改标识符来访问未经授权的资源。

4. 安全开发实践：开发人员应该接受安全意识培训，并使用安全的开发实践来编写和测试应用程序代码。这包括对用户输入进行验证和过滤，以防止恶意用户提交恶意数据。

5.监控和日志记录：应该实施监控和日志记录机制，以便及时检测和响应越权访问尝试。这包括记录用户活动、异常事件和安全警报，并及时采取措施来应对潜在的安全威胁。