记一次参数走私导致的权限绕过

文章预览

在实际业务中，通常会对请求参数进行解析并进行鉴权处理，来避免类似平行越权的风险。若解析请求参数时与Controller的解析方式存在差异，则可能可以绕过现有的安全措施。 0x00 前言 因为HTTP 是无状态的协议（对于事务处理没有记忆能力，每次客户端和服务端会话完成时，服务端不会保存任何会话信息），其每个请求都是完全独立的，服务端无法确认当前访问者的身份信息，无法分辨上一次的请求发送者和这一次 的发送者是不是同一个人。在进行接口业务请求时，若业务相关的关键参数未与当前的用户身份凭证进行绑定，导致相同权限的不同用户可以互相访问其业务模块。也就是常见的平行越权问题。 实际上很多业务场景下虽然接口繁多，但是基本上操作的资源ID都是有限的，如果在每个service方法对这些资源ID单独处理，一是会引入重复的代 ………………………………