【web安全】逻辑越权漏洞

前言

菜某分享，有误请指正

越权漏洞功能

顾名思义，他能使用别的用户的权力。我们网站有许多用户，有普通用户，管理员，最高级的管理员等多种账户。这个越权漏洞就是指我们可以行使别的用户的权力。

越权漏洞的分类

1.水平越权

这个是指同级别的用户的越权。

打个比方：我是一个qq普通群聊成员，你也是qq普通群聊成员，我能够越权行使你的权力，用你的账号发送脏话，发小视频，然后群主把你给踢了。这就是水平越权。

2.垂直越权

这个是指上下级的用户越权

再打个比方：我们都在qq群里，里面有成员，管理员，群主三种。我是普通成员，看一个管理员不爽，于是我用越权漏洞越权使用群主的权力，把这个管理员给撤了。这种就是垂直越权。

3.未授权访问

这个就是，我压根不需要登录，我甚至没有账户，但是我可以跳过这个流程去使用别人的权力。

越权漏洞的实操案例

这两次演示只是看一下原理就行，真正的网站还要复杂一点，之后会演示一个贴近真网站的。

水平越权案例

靶场环境为pikachu靶场

首先打开靶场看到了一个登录框

我登录我的用户

发现他发送的数据包如下

 （这个信息有点奇葩，请不要害怕，这只是我在搞csrf漏洞的时候干的好事）

我们观察数据包，发现他没有什么特殊的地方，唯一特殊的就是这个名字，我们输入了lili他给我们返回了我的信息，那么我们输入别人的名字会不会就会返回别的内容了呢？

实践走起

结果如下

可以看到成功了，但是这个信息除了邮箱之外怎么跟lili这么像？

不要害怕，这也是我干csrf干的好事。

这就是水平越权的原理，很简单是不是，实战跟他差不多但是有些差别，他不会这么明显的一个名字，他会给每人一个编号，我们需要想办法找编号。所以可能用爆破爆破的不是我们想要的账号。

垂直越权案例

还是这个pikachu的靶场，接下来是垂直。

先看靶场环境

同样的登录框

有两个用户，一个是admin，一个是pikachu，admin是管理员

admin用户

 pikachu用户

可以看到，两者的页面是不同的。

抓一下admin用户的增添删除数据包样式

可以看到admin用户增添的数据包样式如下

这时就可以思考

用普通用户发送相同的数据包是否能够添加

发送数据包，cookie不同，但是 别的相同

添加成功

可见虽然我们是用的普通用户，但是发送添加用户的数据包依然可以完成添加操作。

判断有越权漏洞的方法

1.水平越权

URL上，或者发送的数据包中找找，有可能像案例一样很明显的输入名字就会改变页面。

当然大部分是一个编号，每个人一个编号，我们拿两个账号抓包查看有没有一个类似编号的东西，然后用burp去对变化的位置去爆破试试。（当然这个编号也可能是规律性的，比如时间+。。。的形式），如果访问到了别人的信息就实现了水平越权。

2.垂直越权

经常在数据库中会有一个表示等级的数字，比如说普通用户可能是1，管理员是2.抓包多留意下这种的参数，然后修改试试，页面变化说明了有垂直越权。

再者就是想办法搞数据包，盲猜，搞源代码，有些界面有修改选项但是需要权限，这时就可以抓个包看他格式，然后再配合修改一下那个关于等级的数字尝试。