Question

攻击者请求操作（增、删、查、改）某条数据时，Web 应用程序没有判断该数据的

所属人，或者在判断数据所属人时直接从用户提交的表单参数中获取（如用户 ID），导

致攻击者可以自行修改参数（用户 ID），操作不属于自己的数据，如图 16-1 所示。

图 16-1 平行越权流程图

16.1.1 某高校教务系统用户可越权查看其他用户个人信息

某高校教务系统存在平行越权漏洞。通过测试发现，学号有规律可循，学号后 4 位是

连续的数字，普通用户登录系统后可越权查看其他学生的学籍信息、课程成绩等敏感信

息。

步骤一：以“高某某”学号为 12xxxx0031 为例，登录教务系统，并查看该账号的学籍信

息。查看学籍信息链接为

http：//host/search.do？m=xsx&xh=12Sxxx0031，如图 16-2 所

示。

图 16-2 查看学号为 12xxxx0031 的学生的学籍信息

步骤二：访问学号为 12Sxxx0032 的学生的学籍信息，链接为 http：//host/search.do？

m=xsx&xh=12Sxxx0032，如图 16-3 所示。

图 16-3 越权查看其他学号（12xxxx0032）的学籍信息

步骤三：访问学号为 12Sxxx0033 的学生的学籍信息，链接为 http：//host/search.do？

m=xsx&xh=12Sxxx0033，如图 16-4 所示。

图 16-4 越权查看学号 12xxxx0033 的学籍信息

16.1.2 某电商网站用户可越权查看或修改其他用户信息

某电商网站存在越权漏洞可任意进行读取或删除其他用户收货地址、订单信息等操

作。

步骤一：注册账号并登录，当前用户名为 april，UserID 为 460，添加收货地址并查

看“我的地址簿”，如图 16-5 所示。

图 16-5 查看 UserID 为 460 的地址簿

步骤二：使用 Burp Suite 抓包，修改 cookie 中的 UserID 为 460，提交后服务器返回地址

信息，如图 16-6 所示。

图 16-6 越权查看 UserID 为 460 的地址信息

步骤三：修改 cookie 中的 UserID 为 360，提交后服务器返回地址信息，如图 16-7 所示。

图 16-7 越权查看 UserID 为 360 的地址信息

步骤四：在前台下单并提交后，单击查看“我的订单”，如图 16-8 所示。

图 16-8 单击“我的订单”查看订单详细信息

同时使用 Burp Suite 抓包发现用户 ID 为 460，其订单详细信息如图 16-9 所示。

图 16-9 使用 Burp Suit 查看当前 UserID（460）订单信息

步骤五：修改 cookie 中的 UserID 为 360，提交后服务器返回的订单信息如图 16-10 所

示。

图 16-10 越权查看 UserID 为 360 的订单信息

16.1.3 某手机 APP 普通用户可越权查看其他用户个人信息

某手机 APP 查看“个人信息”功能存在平行越权漏洞，可越权查看其他用户个人信息。

步骤一：注册用户并登录后单击“系统设置→个人信息”处查看个人信息，如图 16-11

所示。

图 16-11 查看当前个人用户信息

步骤二：使用 Burp Suite 抓包并修改 studentId 为 188750，提交后服务器返回的其他用

户信息如图 16-12 所示。

图 16-12 越权查看 studentId 为 188750 的用户信息

步骤三：修改 studentId 为 138850，提交后服务器返回的其他用户信息如图 16-13 所

示。

图 16-13 越权查看 studentId 为 138850 的用户信息