漏洞描述

越权访问类（Broken Access Control）漏洞是一种非常常见的逻辑安全漏洞，可以理解为服务端对客户端的数据操作请求过分信任，一个用户一般只能对自身的信息进行增删改查，然而由于后端开发人员的疏忽，没有对用户的增删改查权限进行严格校验或根本就没有校验，从而导致被攻击账户拥有了对其他账户的增删改查权限。

越权类访问类漏可以划分为水平越权访问、垂直越权访问、无权限控制三大类。

水平越权访问：

水平越权访问是由于服务器端在处理用户的增删改查请求时没有判断数据的所属人或者所属主体而导致的越权数据访问漏洞。举个例子，假如有A和B两个账户，正常情况下A账户是不能查询到B账户的数据的，但是A账户使用一些方式例如传入B的ID，而服务器端没有校验此ID的数据属于A而导致了A可以查到B的数据，这样就产生了水平越权访问的漏洞。

垂直越权访问：

垂直越权又叫做权限提升攻击，攻击方法是使用低权限的账户发送高权限账户的请求，从而获得高权限的操作。很多系统在做权限访问控制时只做了展示层面的控制，没有做后端接口层面的权限校验，这就导致一个低权限账号可以通过猜测url的方式获取到本不具有的功能。

水平越权和垂直越权

无权限控制：

新手或者比较缺乏安全意识的人很容易出现此类问题，做系统的时候考虑不到做权限控制或者做了权限控制但是做得漏洞百出。

常见的越权类漏洞

• 在分配权限时，违反了“最小权限原则”或没有遵从“默认拒绝”的策略-即应该给特定用户分配特定的角色和权限，因为没有这么做而导致用户有了本不该具备的权限。
• 通过修改URL(参数篡改或强制浏览)、内部应用程序状态或HTML页面，或使用攻击工具修改API请求来绕过访问控制校验。
• 特权提升，未登录即成为用户或以用户身份登录后即成为管理员。
• 提供通过明文的唯一标识符的方式查看或编辑账户信息。
• 没有配置跨域或者配置错跨域从而导致允许来自未授权或不可信的来源可以访问API。
• 允许未经授权的用户访问需要授权后才能访问的功能。