文章总结： 本文通过两个案例分析了注册点导致垂直越权的漏洞。攻击者通过抓包发现注册请求中的用户类型或角色ID字段，将其修改为管理员标识，从而成功注册高权限账户。案例一中进一步利用IDOR漏洞导出敏感数据。文章建议测试时务必拦截注册包，检查是否存在可篡改的身份参数以防御此类越权风险。 综合评分： 80 文章分类： WEB安全,漏洞分析,渗透测试

2个由注册点导致垂直越权的漏洞案例

船山信安

2026年1月13日 17:00 湖南

注册点导致垂直越权

案例一

登录框

开局依然是登录框起手

但是存在注册点

那么我们先尝试能否注册并继续测试

我们先启动我们的bp 挂在后台抓数据

当抓取注册点的数据包时 发现存在一个user.utype字段

一开始是0 我后面修改成1

最后发现成功注册为管理员用户了

测试功能点

经典管理员账户

经典可以对用户和用户信息进行增删改查操作

存在大量泄露信息的接口

因为是报名系统 所有里面都是学生的家庭信息

敏感信息也是狠狠的被泄露了

测试过程中发现这个站点是个老站点

一看这个前端就很老 还是前后端未分离的

并且cookie部分没有做鉴权操作

那么很自然的就想到创建普通用户尝试越权操作

随便创建了一个普通用户

在刚刚以管理员测试的时候 发现大部分的api都是通过.do文件进行操作的 典型的java web

那么我们现在拿着已知的api 放到普通用户上面测试看看能不能越权操作

这是一个用户查询的接口 后面跟着userid

以普通用户访问这个接口

成功越权查看他人信息

看来这个操作是可行的

那么接下来就继续举一反三即可

接了个列表接口

虽然没有直接回显数据

但是点击导出到excel就可以成功下载全站用户的信息

至此这个站点基本能测试的都已经被我们测试完了

案例二

登录框

依旧登录框起手

是一个实验平台

我们点击右上角登录

很幸运 依然存在注册接口

随便写点东西然后点击注册并抓包

依旧是注册接口存在一个roleid

我们修改为1并放包

成功注册管理员用户

测试功能点

是管理员用户

可以对站内用户信息增删改查

可惜 这个站点并没有什么值得测试的接口

就是一个普通的后台

爽爽拿下二个站点

总结一下

登录框有注册点的话 一定要尝试注册用户 记得开启bp查看具体数据包的情况

可能在数据包中就存在判断用户类型的字段 可能导致垂直越权接管管理员用户

来源：https://xz.aliyun.com/  感谢【sakuya】

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 《2个由注册点导致垂直越权的漏洞案例》