参数裁剪导致的平行越权

admin 2026-07-14 05:26:01 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍参数裁剪导致的平行越权漏洞测试方法。通过删除或置空请求中的身份参数如userid观察返回包是否泄露其他用户敏感信息从而确认越权漏洞。测试流程包括正常请求基线参数裁剪观察返回。危害是可遍历用户ID批量获取他人数据。建议安全测试中关注此类缺陷。 综合评分: 78 文章分类: 渗透测试,web安全,漏洞分析,实战经验


cover_image

参数裁剪导致的平行越权

原创

游山玩水 游山玩水

山水SRC

2026年7月13日 09:29 河南

在小说阅读器读本章

去阅读

免责声明

本公众号分享的所有渗透测试技术文章仅面向合法授权的安全测试、学习交流与研究用途。读者必须确保自身行为符合《网络安全法》等相关法律法规,严禁将其用于任何未授权攻击等非法活动。因不当使用或传播相关内容所引发的任何法律责任与风险,由行为人自行承担,本公众号(或本人)概不负责

测试流程

测试前提

  1. 某接口(如 /api/userInfo/api/orderDetail)返回包中已包含当前用户的敏感信息(手机号、邮箱、订单、身份信息等)。
  2. 请求包中存在可识别的身份类参数(如 userIduidaccountphoneorgId等)。
  3. 服务端对该接口的身份取值逻辑存在缺陷:当指定参数被删除或置空时,未严格校验,可能 fallback 到其他用户数据或返回默认/相邻记录。

测试流程

  1. 正常请求该接口,保留完整参数,确认返回的是当前账号的敏感数据,保存作为基线。
  2. 在 Burp Repeater 中,对同一请求做参数裁剪:
  • 删掉 userIduid等主键参数;
  • 将参数值置空(userId=);
  • 删掉辅助参数(orgIddeptId等);
  • 尝试将数值型 ID 改成相邻数字(±1)作为对照。
  1. 观察返回包:
  • 若返回另一用户的敏感信息 → 确认越权;
  • 若返回多条数据 / 列表(本应只返回单条)→ 确认鉴权失效、参数缺失走了”查全量”分支;
  • 若仍返回自己的 → 该参数不可删,换下一个试。

危害

  1. 平行越权(同权限级别看他人数据):可遍历 userId或利用参数缺失批量拉取其他用户敏感信息(手机号、身份证、订单、住址等)。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:山水SRC 游山玩水 游山玩水《参数裁剪导致的平行越权》

参数裁剪导致的平行越权 网络安全文章

参数裁剪导致的平行越权

文章总结: 本文介绍参数裁剪导致的平行越权漏洞测试方法。通过删除或置空请求中的身份参数如userid观察返回包是否泄露其他用户敏感信息从而确认越权漏洞。测试流程
评论:0   参与:  0