一、水平权限漏洞
简单举例:假设A可以更改1 2 3三条数据 而B可以更改 2 3条数据。
那么我们一般会怎么做呢,会让用户A查询到123条数据,而用户B查询到23条数据
但是一般情况下,我们是对接口做的做的权限验证 此时B权限会拿到23条数据,那么B提交修改的时候只需要将修改的id更改成1的id即可(很多情况下我们会使用主键自增长的方式),所以很容易出现问题。
修复方案0:
先看一个有问题的方案:将addressid改成一个具有一定长度的随机字符串,如5d41402abc4b2a76b9719d911017c592,认为只有有权限的人才能得到这个入口,而且不能通过加1、减1的方式预测别人的入口,因此不再做进一步的权限检查(很多初级的招聘页面都是以这种方式来管理简历的)。这个方案看上去没有问题,可是和国内的环境结合起来就会悲剧——至少我遇到过的,搜狗浏览器会把用户发送的请求上传到服务器上,作为其搜索引擎爬虫的爬取源,这样爬虫就会通告查询操作得到相关的对象信息,并展示在搜索引擎上,如果对象信息包含敏感内容,则产生隐私泄露的安全事件。
修复方案1:
这个是最直接有效的修复方案:在web层的逻辑中做鉴权,检查提交CRUD请求的操作者(通过session信息得到)与目标对象的权限所有者(查数据库