文章总结： 本文通过两个实战案例详细解析越权漏洞的挖掘思路。案例一展示如何通过接口fuzz、参数复用等手段发现后台未授权添加用户漏洞；案例二演示通过修改用户ID实现信息泄露型水平越权。文章总结出关键测试方法：关注接口而非页面功能、分析返回信息含义、利用同站点参数命名规律，并给出改ID、去Token、换请求方法等实操建议。 综合评分： 85 文章分类： 渗透测试,WEB安全,实战经验,漏洞分析,安全意识

---

【SRC实战】|越权漏洞“默认你不会改参数”

原创

隐雾安全 隐雾安全

隐雾安全

2026年5月12日 09:30 四川

在小说阅读器读本章

去阅读

📝 编者语

挖过一段时间SRC后发现

越权，才是最高频出现的问题。

尤其是在一些：

• 管理后台
• 小程序
• 内部系统

经常会出现：

• “不该你看的数据”
• “不该你操作的功能”

这篇文章，就结合两个真实案例，聊聊最近在测试越权漏洞时的一些思考。

1

什么是越权？

简单来说：

越权 = 做了本不属于当前身份的操作

一般分两种：

🔹 水平越权

看别人的数据

比如：

• 查看别人的订单
• 查看别人的身份证
• 查看别人的个人资料

🔹 垂直越权

普通用户做管理员的事

比如：

• 添加后台用户
• 删除别人账号
• 修改系统配置

2

实战案例一

1️⃣ 一开始是个后台系统

打开站点之后，第一感觉就是：

这是一个内部管理平台。

因为：

• 没有注册入口
• 页面偏后台风格
• 功能基本都是管理类

2️⃣ 先做了一些基础测试

因为没有注册功能，我一开始尝试了：

• 弱口令
• 简单爆破

但都没什么结果。

3️⃣ 开始看接口

这时候我习惯性开了插件，顺便看接口。

在接口列表里，发现几个看起来比较特别的路径。

于是简单 fuzz 了一下。

4️⃣ 一个返回长度不一样的接口

测试的时候，有个接口返回长度明显不一样。

这个时候我一般会比较在意：

“为什么它和别的接口返回不一样？”

于是单独看了一下返回内容。

5️⃣ 提示“参数缺失”

返回信息大概是：

请求参数缺失

这个提示其实很关键。

因为它说明：

接口是真实存在的 并且后端已经开始处理请求了

6️⃣ 尝试修改请求方式

我把请求改成 POST。

然后随便加了一点内容测试。

结果返回：

JSON 语法错误

7️⃣ 这个时候基本能确认两件事

第一：

👉 接口接受 JSON 数据

第二：

👉 后端没有完全拦截当前身份

8️⃣ 一个小技巧

因为是同一个站点：

很多参数命名其实是复用的。

所以我直接回去看了一眼登录接口的数据包。

发现里面有：

username

password

nickname

这些字段。

9️⃣ 拼接 JSON 测试

我把这些参数放进之前那个接口里。

重新发包。

结果：

👉 成功添加用户。

🔟 最终验证

新账号成功登录后台。

3

小总结

这个漏洞其实并不复杂。

总结经验为以下几点

① 不要只盯“功能”

很多时候：

页面没有按钮 ≠ 后端没有接口

② 返回信息非常重要

像这种：

• 参数缺失
• JSON 错误
• 字段错误

其实都在告诉你：

“这个接口是活的。”

③ 同站点参数复用率很高

很多开发：

会复用同一套字段命名。

所以：

• 登录接口
• 用户接口
• 管理接口

参数往往都能互相参考。

4

实战案例二

第二个案例是个小程序。

相比第一个，这个更偏：信息泄露类越权。

1️⃣ 起点很普通

登录之后，进入“我的”页面。

2️⃣ 抓一个个人信息包

这种场景我现在基本都会抓。

因为：

“我的信息” 往往最容易出现越权。

3️⃣ 看到用户 ID

请求里有一个明显的用户参数。

于是我做了一个最基础的测试：

修改 ID。

4️⃣ 返回了别人的信息

改完之后，接口正常返回。

但返回的数据：

已经不是当前账号的信息了。

5️⃣ 开始做枚举

这个时候我一般会继续确认：

“这个数据是不是连续的？”

于是开始简单遍历。

6️⃣ 结果就是典型的水平越权

通过遍历：

可以查看大量用户信息。

包括：

• 姓名
• 身份证

5

测试越权的固定流程

对于初学者测越权可以先做几件事：

🔹 改 ID

id

uid

memberId

userId

🔹 去 Token

看看是不是未授权。

🔹 换请求方法

POST → GET

PUT → GET

🔹 看返回内容

尤其注意：

• phone
• idCard
• token

🎁文末福利

联系客服获取《越权漏洞挖掘思路整理》

!

微信号丨Hiddenfog001

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：隐雾安全 隐雾安全 隐雾安全《【SRC实战】|越权漏洞“默认你不会改参数”》