[LAB] 攻击模拟 / IDOR 越权访问

IDOR 越权访问模拟

IDOR 漏洞允许攻击者通过修改 ID 参数访问其他用户的敏感数据

👤 当前登录用户(受害者视角)
👤
您的用户 ID: 2
🎭 攻击者尝试越权

攻击者修改 URL 中的用户 ID:

GET /api/user?id=1

尝试访问管理员 (ID=1) 或其他用户的数据

提示:您是 ID=2 的用户,尝试访问其他 ID(如 1, 3, 4)

[DEFENSE] 防御措施

  • 权限检查:每次访问资源前验证当前用户是否有权限
  • 使用不可预测的标识符:用 UUID 替代自增 ID
  • 引用映射:使用用户专属索引而非数据库 ID
  • 最小权限原则:只返回必要的数据字段
  • 访问日志:记录所有敏感资源访问

← 返回攻击模拟首页