WEB安全新玩法 [5] 防范水平越权之查看他人订单信息

水平越权是指系统中的用户在未经授权的情况下，查看到另一个同级别用户所拥有的资源。水平越权会导致信息泄露，其产生原因是软件业务设计或编码上的缺陷。iFlow 业务安全加固平台可以缓解部分场景下的水平越权问题。

---

以某电商网站为例，其查看订单功能存在漏洞：仅依靠修改 URL 参数，任意登录用户不仅可以查看自己的订单信息，也可以查看到其他用户的订单信息。我们看看在网站自身存在缺陷的情况下，如何利用 iFlow 阻止水平越权的订单信息访问。

一、原始网站

1.1 正常用户访问

正常用户登录成功之后，进入个人中心的订单管理页面显示自己的订单列表。

从订单列表中点击其中一个订单的订单详情，则可以看到订单的具体信息。

HTTP 交互流程如下：

sequenceDiagram
participant 正常用户
participant 浏览器
participant Web服务器
正常用户->>浏览器: 点击【订单管理】
浏览器->>Web服务器: 请求：订单管理
Web服务器->>浏览器: 返回：订单列表
浏览器->>正常用户: 显示：订单列表页面
正常用户->>浏览器: 点击其中一项【订单详情】
浏览器->>Web服务器: 请求：订单详情
Web服务器->>浏览器: 返回：订单详情
浏览器->>正常用户: 显示：订单详情页面

1.2 攻击者访问

电商网站在处理订单详情业务时有个漏洞：它使用提交参数中的订单 ID 在数据库中获取到了订单信息，但没有去检查订单所有者是否与已登录用户为同一用户，而是直接将订单信息返回给了浏览器。

这样，攻击者与正常用户经过同样的操作 (即在订单列表查看自己的订单详情) 后，可以手工修改 URL 中的订单 ID 从而获取到任意用户的订单信息。这个过程可以连续地进行。

下图中，攻击者访问了 ID 为 8 的订单详情，而这个订单本应属于「test01」用户。

HTTP 交互流程如下：

sequenceDiagram
participant 攻击者
participant 浏览器
participant Web服务器
攻击者->>浏览器: 点击【订单管理】
浏览器->>Web服务器: 请求：订单管理
Web服务器->>浏览器: 返回：订单列表
浏览器->>攻击者: 显示：订单列表页面
攻击者->>浏览器: 点击其中一项【订单详情】
浏览器->>Web服务器: 请求：订单详情
Web服务器->>浏览器: 返回：订单详情
浏览器->>攻击者: 显示：自己的订单详情页面
rect rgb(250, 128, 128)
攻击者->>浏览器: 请求参数id修改为任意值
end
浏览器->>Web服务器: 请求：订单详情
Web服务器->>浏览器: 返回：订单详情
rect rgb(250, 128, 128)
浏览器->>攻击者: 显示：他人的订单详情页面
end

二、iFlow虚拟补丁后的网站

我们在 Web 服务器前部署 iFlow 业务安全加固平台，它有能力拦截、计算和修改双向 HTTP 报文并具备存储能力，成为 Web 应用的虚拟补丁。在本例中，iFlow 记录订单列表中的所有订单 ID，在用户访问订单详情时进行检查。

2.1 正常用户访问

服务器在返回用户订单列表时，iFlow 解析出每一订单项目的订单 ID 形成用户的 合法id记录。用户在访问订单详情时，iFlow 检查要访问的订单 ID 是否包含在 合法id记录 中。

正常用户的 HTTP 交互流程如下：

sequenceDiagram
participant 正常用户
participant 浏览器
participant iFlow
participant Web服务器
正常用户->>浏览器: 点击【订单管理】
浏览器->>Web服务器: 请求：订单管理
Web服务器->>iFlow: 返回：订单列表
rect rgb(160, 250, 160)
Note over iFlow: 所有订单id形成合法id记录
end
iFlow->>浏览器: 返回：订单列表
浏览器->>正常用户: 显示：订单列表页面
正常用户->>浏览器: 点击其中一项【订单详情】
浏览器->>iFlow: 请求：订单详情
rect rgb(160, 250, 160)
Note over iFlow: 订单id在合法id记录中
end
iFlow->>Web服务器: 请求：订单详情
Web服务器->>浏览器: 返回：订单详情
浏览器->>正常用户: 显示：订单详情页面

2.2 攻击者访问

如前所示，攻击者自行修改订单 ID 发出请求，iFlow 拦截此请求，发现请求的 ID 不在 合法id记录 中，即终止此过程。

攻击者的 HTTP 协议交互过程如下：

sequenceDiagram
participant 攻击者
participant 浏览器
participant iFlow
participant Web服务器
攻击者->>浏览器: 点击【订单管理】
浏览器->>Web服务器: 请求：订单管理
Web服务器->>iFlow: 返回：订单列表
rect rgb(160, 250, 160)
Note over iFlow: 所有订单id形成合法id记录
end
iFlow->>浏览器: 返回：订单列表
浏览器->>攻击者: 显示：订单列表页面
攻击者->>浏览器: 点击其中一项【订单详情】
浏览器->>iFlow: 请求：订单详情
rect rgb(160, 250, 160)
Note over iFlow: 订单id在合法id记录中
end
iFlow->>Web服务器: 请求：订单详情
Web服务器->>浏览器: 返回：订单详情
浏览器->>攻击者: 显示：订单详情页面
rect rgb(250, 128, 128)
攻击者->>浏览器: 请求参数id修改为任意值
end
浏览器->>iFlow: 请求：订单详情
rect rgb(160, 250, 160)
Note over iFlow: 订单id不在合法id记录中
end
iFlow->>浏览器: 返回：终止访问
rect rgb(250, 128, 128)
浏览器->>攻击者: 终止访问
end

2.3 代码

iFlow 内置的 W2 语言是一种专门用于实现 Web 应用安全加固的类编程语言。它介于配置和通用语言之间，具备编程的基本要素和针对 HTTP 协议的特有扩展，能为业务系统编写涉及复杂判断和动态修改的逻辑。

考虑到安全产品的使用者通常为非程序员，他们习惯面对配置文件而非一段代码。因此，W2 语言虽包含语言要素，仍以规则文件方式呈现，并采用可以体现层次结构和方便词法校验的 JSON 格式。

用 W2 语言实现上述虚拟补丁的代码如下：

[
	{
        "if": [
			"streq(REQUEST_FILENAME, '/shopx/index.php')",
			"streq(@ARGS.s, '/index/order/index.html')"
		],
		"then": {
            "execution": {
                "directive": "setVariable",
                "variable": "SESSION.valid_ids",
                "value": "rxMatch(RESPONSE_BODY, '<a[^>]+href=\"[^\"].*(/index/order/detail/id.*)\" target=.*\"[^>]*>', -1, 1)",
                "expiry": 3600
            }
        }
    },
    {
        "if": [
            "streq(REQUEST_FILENAME, '/shopx/public/index.php')",
            "contain(@ARGS.s, '/index/order/detail/id')",
            "!contain(SESSION.valid_ids, @ARGS.s)",
        ],
        "then": {
            "verdict": {
                "action": "deny",
                "log": "User access page ${@ARGS.s} NOT in ${SESSION.valid_ids}"
            }
        }
    }
]

示例代码中有两条规则，分别作用如下：

第一条规则

当服务器返回订单列表时，iFlow 解析此响应。iFlow 用正则表达式匹配列表中每一个订单详情的链接，然后保存在会话 (SESSION) 的存储变量 valid_ids 中。

第二条规则

当浏览器请求订单详情时，iFlow 拦截此请求。iFlow 检查请求参数 s 是否包含在会话 (SESSION) 的存储变量 valid_ids 中。如果没有，则表示这个订单 ID 是攻击者自行输入的，阻止访问。

注意：上述会话中的 valid_ids 是保存在服务器端的 iFlow 存储中的，攻击者在浏览器端是看不到数据更无法进行修改的。

三、总结

iFlow 使用两条规则在不修改服务器端代码的前提下，利用没有越权的订单列表信息，透明地保证了订单详情不被水平越权查看。

这个例子是建立在用户常规操作顺序的基础上的，即先获得订单列表再查看订单详情。如果网站的其他页面也包含了订单详情链接或者用户从书签中访问订单详情，则会产生误判。因此，它仅适用于这个场景而非彻底解决了水平越权问题。

以补丁方式解决水平越权问题还可以有其他一些方式，如后端参数混淆、加入鉴别码等方式。如何用 iFlow 实现这些功能，在后续介绍中可以看到。（张戈 | 天存信息）