不安全的访问控制漏洞与防护（进阶篇）

1. 漏洞描述

不安全的访问控制（Broken Access Control）指系统未正确限制用户对资源或功能的访问权限，导致低权限用户可执行高权限操作（如普通用户访问管理员功能、越权查看他人数据等）。在进阶场景中，漏洞可能隐藏在复杂的业务逻辑、动态权限模型或分布式系统中，需深入分析权限验证机制的设计缺陷。

2. 漏洞原理与常见场景

核心问题

• 缺失权限验证：功能接口未校验用户角色或权限标签。
• 动态权限失效：依赖前端传递的参数（如用户ID）判断权限，后端未二次验证。
• 权限模型复杂化：多角色、多租户系统中，权限继承或边界处理错误。

进阶场景示例

1. 横向越权（Horizontal Privilege Escalation）

   • 用户A通过修改URL参数（如/api/order?user_id=B）访问用户B的订单数据。
   • 根源：后端仅验证用户登录状态，未校验数据归属权。

2. 纵向越权（Vertical Privilege Escalation）

   • 普通用户通过直接调用管理员API（如/admin/delete_user）提升权限。
   • 根源：接口未强制验证角色（如RBAC模型中的管理员组）。

3. 基于状态的权限漏洞

   • 系统根据用户当前状态（如VIP有效期）动态授权，但状态检查逻辑被绕过（如修改本地时间伪造VIP状态）。

3. 漏洞挖掘与验证步骤

步骤1：识别权限边界

• 分析业务功能模块（如用户管理、支付、数据导出），明确各角色（匿名用户、普通用户、管理员）的合法操作范围。
• 使用工具（如Burp Suite）抓取不同角色的HTTP请求，对比参数和接口路径差异。

步骤2：测试越权访问

• 横向越权测试：
  1. 登录用户A，访问仅限A使用的功能（如查看订单）。
  2. 修改请求中的资源标识（如订单ID、用户ID）为B的标识，观察是否返回B的数据。
• 纵向越权测试：
  1. 登录低权限用户，尝试直接访问高权限接口（如/admin/export）。
  2. 伪造请求头（如X-Admin: true）或修改Cookie角色字段。

步骤3：检查权限验证逻辑

• 动态分析权限校验代码（如拦截器、注解、中间件），确认：
  • 是否每次请求都验证权限？
  • 验证逻辑是否依赖不可信参数（如前端传入的用户角色）？
  • 缓存权限数据时，是否及时更新（如用户降权后仍保留旧权限）？

4. 防护方案设计

原则：强制服务端校验，最小权限原则

1. 统一权限验证层

   • 在后端API网关或中间件中集中处理权限验证，避免分散校验。
   • 示例代码（基于RBAC模型）：

     # 中间件示例（Python Flask）  
     def check_permission(endpoint):  
         user_role = session.get('role')  
         required_role = get_required_role(endpoint)  # 从配置表加载  
         if not required_role <= user_role:  # 角色层级比较  
             abort(403)  
     

2. 数据级权限控制

   • 查询数据时强制关联当前用户身份（如SQL中添加WHERE user_id = current_user）。
   • 避免仅依赖前端传入的ID进行查询。

3. 动态权限的安全更新

   • 权限变更（如用户降级）时，实时失效相关会话或令牌。
   • 使用短期令牌（如JWT设置较短expiry）减少权限残留风险。

4. 日志与监控

   • 记录所有权限验证失败事件，并设置告警（如频繁403错误可能为攻击探测）。

5. 进阶案例：多租户SaaS系统的越权

场景

• SaaS平台中，租户A的用户通过修改tenant_id参数访问租户B的数据。

防护方案

• 在数据库查询层自动注入租户隔离条件（如使用ORM过滤器）：

  SELECT * FROM orders WHERE tenant_id = ? AND user_id = ?;  
  

• 后端从认证令牌中获取租户ID，禁止从前端参数读取。

6. 总结

不安全的访问控制在进阶场景中常因权限模型复杂化或验证逻辑分散而引入。防护需坚持服务端强制校验、最小权限原则，并结合业务逻辑设计多层防御（接口级、数据级、动态权限更新）。定期进行渗透测试（如越权扫描工具）可及时发现潜在漏洞。