挖洞分析 | 利用越权漏洞实现账户劫持

攻击者若劫持了受害者账户就能以受害者身份执行所有账户环境操作了。攻击者若劫持了项目，即可获得相应的项目管理权限。有时，IDOR攻击不能实现对目标账户的完全劫持，但却可以获得受害者或管理员账户环境中的一些资源访问管理权，我在多个众测项目中就遇到了这种情况。

IDOR漏洞介绍

不安全的直接对象引用(Insecure Direct Object Reference)，该漏洞多出现在一些公司的服务台(helpdesk)接口系统上，通过更改变化其中的票据或用户ID，从而可以读取到其它用户相关的票据或账户信息。但实现上，IDOR漏洞不仅仅限于变化ID数值读取他人资源，它还可造成某些数据的篡改。

另外，如果有时相关ID很难猜测，或用UUID或HASH串代替，这种情况下的IDOR漏洞可能性就很小。但依我的经验来看，只要认真测试，还是能发现一些有用ID来的。以导致的后果来分类，IDOR可分为以下四类：

数据读取

数据篡改

权限提升(这是一种非常特别的数据更改方式)

账户劫持(真正意义上的提权)

下面我们就来讨论利用IDOR漏洞实现账户或项目劫持。

利用IDOR实现账户劫持

如果利用IDOR来实现对目标账户或实体项目的劫持呢?比如，这里有个主账户，它在其账户环境下创建了名为manager的子账户或一些运营项目，我们的目的就是劫持这个manager子账户和运营项目。

对主账户或用户会话的劫持相对较难，因为有时攻击者的账户环境不能直接访问到主账户，但我们可以通过劫持低权限子账户，或其关联项目的方式来实现对主账户的劫持。以下是我在一些众测项目中遇到的情况。

（编辑：ASP站长网）