文章总结: 文章通过萌新改Cookie越权失败案例,说明现代系统Cookie含加密Session和签名,直接修改明文会触发风控导致账号异常。正确越权测试需使用授权账号交换Token,而非篡改Cookie。强调安全测试需合法授权,未经授权测试属违法行为。 综合评分: 87 文章分类: 渗透测试,实战经验,安全意识,WEB安全,红队
记一次萌新投稿:改Cookie假装管理员,管理员没当成,差点连游客都做不了!!!
原创
是老A 是老A
老A搞安全
2026年7月10日 08:23 贵州
在小说阅读器读本章
去阅读
一位深耕网络安全的老兵,目前是一家安全公司的技术分管,擅长渗透测试及安全培训方向,老A的愿望是大家没烦恼,一切顺心!
真实案例分享,请准备纸巾擦眼泪!
有个萌新在SRC挖洞,听说改Cookie可以实现越权操作。
改Cookie?那不就是把用户ID改成1吗?
他觉得自己发现了财富密码。
于是打开浏览器开发者工具,找到Cookie里的userId=8,小手一抖,改成了userId=1。
刷新页面。
然后……被踢下线了。
再登录,账号直接提示“操作频繁,请稍后再试”。
等了好久终于登上去,发现自己差点被风控系统标记成“异常账号”。
他想当管理员,结果连普通用户的身份都差点没保住。
惊掉了……啊哈哈
他的测试流程是这样的:
第一步: 打开Burp Suite抓包,看到Cookie里有个userId=8
第二步: 推理……管理员ID一般是1,改成1试试。
第三步: 改完发送请求。
第四步: 页面“啪”一下,跳转到登录页。
第五步: 重新登录,提示“账号存在安全风险,请验证身份”。
他懵了。
我就是改了个数字,怎么连自己都登不上去了?
为什么会这样?
因为正规厂商的Cookie,根本就不是“明文的”啊!
你以为Cookie长这样:
userId=1
实际上它长这样:
session=eyJ1c2VySWQiOjEyMzQ1LCJzaWduIjoiYWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXoifQ==
看到区别了吗?
真正的Cookie里,用户ID是加密在里面的,而且带签名。
你改了明文ID,但加密密文和签名没变。服务端一解包发现:
- 解密出来的ID是1
- 但签名对不上
- 或者Token里的ID跟签名不匹配
服务端的心理活动:
- 这个Token的签名是给userId=8签的,你现在告诉我userId=1?
- 要么Token被篡改了,要么就是恶意请求。
- 踢了,顺便标记一下这个账号。
更刺激的还在后面
你以为被踢下线就完了?
太天真了。
现代系统的风控机制是这样的:
第一次异常 → 踢下线,记录日志
第二次异常 → 账号加灰,限制部分功能
第三次异常 → 直接风控,要求实名验证或联系客服解封
这位萌新被踢下线之后,又试了两次。
是不是我改的方式不对?我换个编码试试。
结果就是:账号被风控系统盯上了。
重新登录的时候,弹出了:
- 滑块验证
- 短信验证码
- 人脸识别(部分系统真的有)
- “账号存在异常行为,请联系客服”
他想当管理员,结果连“游客”身份都差点没保住。
最后他花了20分钟做完各种验证,才把账号恢复正常。
而这个过程中,安全团队已经收到了告警:
用户ID 8 尝试篡改Token,疑似横向越权攻击
真正的越权测试应该怎么做?
首先,不要直接改Cookie明文。
这不是挖洞,这是在安全团队的告警系统里留案底。
其次,要有授权的测试账号。
正规的SRC挖洞或者渗透测试,会给你不同权限的测试账号:
- 普通用户账号(用来测越权)
- 管理员账号(用来验证权限)
- 有时还有VIP账号、子账号等
你要做的是:
用普通账号发一个请求,然后把这个请求里的Token,换成管理员账号的Token,再发一遍。
看系统会不会让你访问管理员才能看的数据。
这叫水平越权测试(同角色看别人的数据)和垂直越权测试(低权限访问高权限功能)
而不是自己瞎改Cookie里的ID。
插个话
老一点的系统,或者说十年前改Cookie这种操作挺容易见效的
因为十年前的系统,Cookie确实是爱这么写的
if ($_COOKIE['user_id'] == 1) { echo "欢迎管理员";} else { echo "欢迎用户";}
是的,直接把Cookie里的值当成权限判断依据。
那时候改Cookie确实能越权。所以老一辈黑客经常说“改Cookie就能当管理员”。
但那是十年前。
现在的系统:
1. Cookie里有加密Session2. Session里存了用户ID和签名3. 服务端验证签名,防篡改4. Token还有有效期、设备指纹、IP绑定5. 异常行为直接触发风控
你改个ID,等于在一堆验证机制面前挥舞着“我是黑客”的旗子。
系统没直接封你IP,都算客气了。
⚠️ 法律声明:以上内容仅供安全学习和授权测试使用。未经授权的漏洞利用属于违法行为,请勿对未经授权的目标进行测试。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:老A搞安全 是老A 是老A《记一次萌新投稿:改Cookie假装管理员,管理员没当成,差点连游客都做不了!!!》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论