系统垂直越权与水平越权漏洞修复记录

最近系统的安全渗透测试中，检测出存在垂直越权和水平越权的漏洞。确实项目的权限管理，只是限制到菜单和按钮粒度，没有细到业务代码的每个接口上。在此记录一下自己的修复思路。

一、什么是垂直/水平越权？

水平越权

何为水平越权呢？就是相同权限用户之间在未经授权的情况下，可以访问到一方的资源。比如说同是一个网站的普通用户A和B，A通过越权操作访问了B的信息。

例如用户A与用户B属于同一角色，拥有同样菜单权限，但他们拥有私人的客户数据（A私有数据，B私有数据），假如B用户获取到了某条A私人数据信息（例如数据id），通过调用同样的查询接口，成功查询了到该私人数据的详细信息，那么这种行为就叫做水平越权访问。

垂直越权

垂直越权呢，就是低权限用户实现了高权限用户的功能。比如普通用户通过越权登录到了管理员页面，实现管理员才能的操作。

例如管理员A可查看编辑系统所有人员信息，普通用户B只能查看编辑自己部门的人。但是用户B通过抓包获取了其他部门用户C的id，调用修改接口，成功把18岁的C改成了38岁。那么这种行为就叫做垂直越权访问。

二、如何防范？

由于，我接手这个漏洞时，修复时间很紧迫，所以就用了最简单粗暴的方式。

思路：

利用每个模块的查询功能，默认所见即为你可以操作。在每个接口执行前，默认查询该登陆用户的查询所有结果，再将执行的业务数据id对比查询结果，如果在其中则正常操作，如果不在其中则抛出越权结果。

实现：

1、自定义注解，将注解放在需要鉴权的接口上，并写上接口所属模块，方法

2、利用springboot的AOP面向切面编程，按注解切，在每个接口执行前做查询结果校验处理

优化：

1、利用注解上的模块名与方法名，用策略模式，统一编写不用模块，方法的参数处理。

2、查询性能上的优化

附上自己的统一参数处理代码编写：

/*** @Author: dyf* @Date: 2020/5/8 21:09* @Description:*/
public enum ModuleParam {SYS_ORG("sysOrg"),RIVER_USER("riverUsers"),RIVER("riverInfo"),RIVER_STAGE("riverStageInfo"),LAKE("lakeInfo"),LAKE_SLICES("lakeSlicesInfo"),RESERVIOR("reservoirInfo"),RESERVIOR_SLICES("reservoirSlicesInfo"),BOARD("board"),POLICY("policy"),ARCHIVES("archives"),CAMERA("camera"),NOTICE("notice"),COMPANY("company");String name;IGetParam getParam;ModuleParam(String name) {this.name = name;}public ModuleParam initMethod(String methodType){switch(methodType){case "update":getParam = new GetUpdateId();break;case "query":getParam = new GetQueryId();break;case "del":getParam = new GetDelId();break;//按需自定义，初始化...}return this;}public String getId(Object object){return (String) getParam.getId(name, object);}public List<String> getIds(Object object){return (List<String>)getParam.getId(name, object);}}

public interface IGetParam {Object getId(String methodType, Object object);
}public class GetDelId implements IGetParam {@Overridepublic Object getId(String moduleName, Object object) {switch (moduleName){case "sysOrg":case "riverUsers": return ((BaseEntity)object).getId();case "riverInfo":case "reservoirInfo":case "lakeInfo": ((DeleteParamDTO)object).getId();case "riverStageInfo":case "reservoirSlicesInfo":case "lakeSlicesInfo": return ((ArrayList<String>)object);case "board":case "policy":case "archives":case "camera":case "notice": return ((List<String>)object);case "company": return (String)object;}return null;}
}public class GetQueryId implements IGetParam {@Overridepublic String getId(String moduleName, Object object) {switch (moduleName) {case "sysOrg":case "riverUsers":case "riverInfo":case "riverStageInfo":case "reservoirInfo":case "reservoirSlicesInfo":case "lakeInfo":case "lakeSlicesInfo":case "board":case "policy":case "archives":case "company":case "camera":case "notice":return (String)object;}return "";}
}public class GetUpdateId implements IGetParam {@Overridepublic String getId(String moduleName, Object object) {switch (moduleName) {case "sysOrg":return ((SysOrg) object).getId();case "riverUsers":return ((RegisterUser) object).getId();case "riverInfo":return ((River) object).getId();case "riverStageInfo":return ((RiverStageAddDTO) object).getId();case "reservoirInfo":return ((Reservoir) object).getId();case "reservoirSlicesInfo":return ((ReservoirSlicesAddDTO) object).getId();case "lakeInfo":return ((Lake) object).getId();case "lakeSlicesInfo":return ((LakeSlicesAddDTO) object).getId();case "board":return ((BulletinBoardAddDTO) object).getId();case "policy":return ((PolicyInfoResultDTO) object).getId();case "archives":return ((ArchivesInfoResultDTO) object).getId();case "company":return ((RCompanyInfo) object).getId();case "camera":return ((RCamera) object).getId();case "notice":return ((Notice) object).getId();}return "";}
}

总结：

我的解决方法，比较粗暴，虽然是暂时解决了问题，但是每一个操作都需要查询所有，带来的性能问题是一个隐患，但考虑到系统本身也只是一个业务系统，没有多少并发，所以可以用此方式苟延残喘下去。

附上网上查询的一些防范越权漏洞的方法：
1、调用功能前验证用户是否有权限调用相关功能（也就是我这种方式）
2、执行关键操作前必须验证用户身份，验证用户是否具备操作数据的权限
3、控制参数，加密资源ID，防止攻击者枚举ID，敏感数据特殊化处理。但参数加密仅仅只能防止的是遍历，并不能真正解决越权，还只是缓解的方式；
4、永远不要相信来自用户的输入，对于可控参数进行严格的检查与过滤