【SRC实战】|越权漏洞“默认你不会改参数”

admin
admin
admin
0
文章
0
评论
2026-05-14 14:32:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文通过两个实战案例详细解析越权漏洞的挖掘思路。案例一展示如何通过接口fuzz、参数复用等手段发现后台未授权添加用户漏洞;案例二演示通过修改用户ID实现信息泄露型水平越权。文章总结出关键测试方法:关注接口而非页面功能、分析返回信息含义、利用同站点参数命名规律,并给出改ID、去Token、换请求方法等实操建议。 综合评分: 85 文章分类: 渗透测试,WEB安全,实战经验,漏洞分析,安全意识

cover_image

【SRC实战】|越权漏洞“默认你不会改参数”

原创

隐雾安全 隐雾安全

隐雾安全

2026年5月12日 09:30 四川

在小说阅读器读本章

去阅读

📝 编者语

挖过一段时间SRC后发现

越权,才是最高频出现的问题。

尤其是在一些:

  • 管理后台
  • 小程序
  • 内部系统

经常会出现:

  • “不该你看的数据”
  • “不该你操作的功能”

这篇文章,就结合两个真实案例,聊聊最近在测试越权漏洞时的一些思考。

1

什么是越权?

简单来说:

越权 = 做了本不属于当前身份的操作

一般分两种:

🔹 水平越权

看别人的数据

比如:

  • 查看别人的订单
  • 查看别人的身份证
  • 查看别人的个人资料

🔹 垂直越权

普通用户做管理员的事

比如:

  • 添加后台用户
  • 删除别人账号
  • 修改系统配置

2

实战案例一

1️⃣ 一开始是个后台系统

打开站点之后,第一感觉就是:

这是一个内部管理平台。

因为:

  • 没有注册入口
  • 页面偏后台风格
  • 功能基本都是管理类

2️⃣ 先做了一些基础测试

因为没有注册功能,我一开始尝试了:

  • 弱口令
  • 简单爆破

但都没什么结果。

3️⃣ 开始看接口

这时候我习惯性开了插件,顺便看接口。

在接口列表里,发现几个看起来比较特别的路径。

于是简单 fuzz 了一下。

4️⃣ 一个返回长度不一样的接口

测试的时候,有个接口返回长度明显不一样。

这个时候我一般会比较在意:

“为什么它和别的接口返回不一样?”

于是单独看了一下返回内容。

5️⃣ 提示“参数缺失”

返回信息大概是:

请求参数缺失

这个提示其实很关键。

因为它说明:

接口是真实存在的 并且后端已经开始处理请求了

6️⃣ 尝试修改请求方式

我把请求改成 POST。

然后随便加了一点内容测试。

结果返回:

JSON 语法错误

7️⃣ 这个时候基本能确认两件事

第一:

👉 接口接受 JSON 数据

第二:

👉 后端没有完全拦截当前身份

8️⃣ 一个小技巧

因为是同一个站点:

很多参数命名其实是复用的。

所以我直接回去看了一眼登录接口的数据包。

发现里面有:

username

password

nickname

这些字段。

9️⃣ 拼接 JSON 测试

我把这些参数放进之前那个接口里。

重新发包。

结果:

👉 成功添加用户。

🔟 最终验证

新账号成功登录后台。

3

小总结

这个漏洞其实并不复杂。

总结经验为以下几点

① 不要只盯“功能”

很多时候:

页面没有按钮 ≠ 后端没有接口

② 返回信息非常重要

像这种:

  • 参数缺失
  • JSON 错误
  • 字段错误

其实都在告诉你:

“这个接口是活的。”

③ 同站点参数复用率很高

很多开发:

会复用同一套字段命名。

所以:

  • 登录接口
  • 用户接口
  • 管理接口

参数往往都能互相参考。

4

实战案例二

第二个案例是个小程序。

相比第一个,这个更偏:信息泄露类越权。

1️⃣ 起点很普通

登录之后,进入“我的”页面。

2️⃣ 抓一个个人信息包

这种场景我现在基本都会抓。

因为:

“我的信息” 往往最容易出现越权。

3️⃣ 看到用户 ID

请求里有一个明显的用户参数。

于是我做了一个最基础的测试:

修改 ID。

4️⃣ 返回了别人的信息

改完之后,接口正常返回。

但返回的数据:

已经不是当前账号的信息了。

5️⃣ 开始做枚举

这个时候我一般会继续确认:

“这个数据是不是连续的?”

于是开始简单遍历。

6️⃣ 结果就是典型的水平越权

通过遍历:

可以查看大量用户信息。

包括:

  • 姓名
  • 身份证

5

测试越权的固定流程

对于初学者测越权可以先做几件事:

🔹 改 ID

id

uid

memberId

userId

🔹 去 Token

看看是不是未授权。

🔹 换请求方法

POST → GET

PUT → GET

🔹 看返回内容

尤其注意:

  • phone
  • idCard
  • token

🎁文末福利

联系客服获取《越权漏洞挖掘思路整理》

!

微信号丨Hiddenfog001

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:隐雾安全 隐雾安全 隐雾安全《【SRC实战】|越权漏洞“默认你不会改参数”》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0