文章总结： 本文分析了一种因前后端权限不同步导致的越权漏洞。当管理员撤销用户权限后，未刷新页面的用户前端仍缓存高权限状态。若后端接口未严格校验当前最新权限而信任过期的会话或前端状态，攻击者即可继续执行高权操作。建议在所有敏感接口实现强制服务端实时权限校验，绝不依赖前端状态。 综合评分： 60 文章分类： 漏洞分析,WEB安全,安全开发,SRC活动,应用安全

权限收了，功能还在漏洞

原创

游山玩水 游山玩水

山水SRC

2026年4月2日 08:48 河南

免责声明

本公众号分享的所有渗透测试技术文章仅面向合法授权的安全测试、学习交流与研究用途。读者必须确保自身行为符合《网络安全法》等相关法律法规，严禁将其用于任何未授权攻击等非法活动。因不当使用或传播相关内容所引发的任何法律责任与风险，由行为人自行承担，本公众号（或本人）概不负责

流程

1.用户A给用户B高权限

2.用户A取消用户B权限

3.用户B不刷新页面就不会失去高权限，仍然能在该页面进行高权操作

当管理员（用户A）取消用户B的高权限后，后端数据库已更新。但用户B的浏览器页面未刷新，其前端JS代码中缓存的仍是旧的“高权限”状态，因此仍能看到并触发高权限操作按钮。关键在于，如果后端API在响应用户B后续的操作请求时，没有严格校验其最新权限，而仅信任了前端传递的令牌或会话中过期的权限信息，攻击就成功了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山水SRC 游山玩水 游山玩水《权限收了，功能还在漏洞》