某SRC邀请处逻辑越权漏洞分析报告<\/h3>

漏洞概述<\/h4>

在挖掘某企业SRC时发现其小程序存在权限逻辑缺陷<\/strong>，攻击者可利用邀请功能的role_id<\/code>参数越权提升为组织管理员权限，并存在公司ID遍历风险。<\/p>

漏洞复现步骤<\/h4> 环境准备<\/strong><\/p> 获取两个测试账号（A：正常用户，B：攻击者）<\/li> 登录小程序后创建测试公司项目<\/li> <\/ul> <\/li> 正常流程操作<\/strong><\/p> graph TD A[注册公司账户] --> B[新建项目] B --> C[进入公司管理] C --> D[邀请成员] D --> E[选择招聘专员权限生成链接] <\/code><\/pre> <\/li> 关键攻击点<\/strong><\/p> 测试账号B访问邀请链接时抓包，发现以下可控参数： POST<\/span> \/api\/invite\/join HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>{<\/span> <\/span><\/span> "company_id": "12345", <\/span><\/span> "role_id": "2" \/\/ 原值为低权限角色ID <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 修改role_id<\/code>为管理员权限值（如1<\/code>）后重放请求<\/li> <\/ul> <\/li> 权限验证<\/strong><\/p> 返回success<\/code>后，账号B在A的公司中显示为组织管理员<\/strong><\/li> 可执行管理员专属操作（如成员管理、项目配置等）<\/li> <\/ul> <\/li> <\/ol> 漏洞原理<\/h4> 后端缺陷<\/strong><\/p> 未校验邀请链接的权限一致性<\/li> 未对role_id<\/code>进行服务端二次验证<\/li> 公司ID采用连续数字，存在遍历风险<\/li> <\/ul> <\/li> 攻击面扩展<\/strong><\/p> 通过爆破company_id<\/code>可加入任意企业<\/li> 结合CSRF可构造恶意邀请链接<\/li> <\/ul> <\/li> <\/ol> 修复建议<\/h4> 服务端加固<\/strong> # 伪代码示例<\/span> <\/span><\/span>def<\/span> join_company<\/span>(request): <\/span><\/span> invite =<\/span> get_invite_link(request.<\/span>invite_token) <\/span><\/span> if<\/span> request.<\/span>role_id !=<\/span> invite.<\/span>role_id: # 强制匹配原始权限<\/span> <\/span><\/span> return<\/span> error("权限篡改检测"<\/span>) <\/span><\/span><\/code><\/pre><\/li> 其他措施：使用JWT签名邀请链接<\/li> 公司ID改为UUID等不可预测值<\/li> 增加操作日志审计<\/li> <\/ul> <\/li> <\/ol> 时间线<\/h4> 2025-03-05 漏洞提交至SRC平台<\/li> 2025-03-07 厂商确认中危漏洞<\/li> 2025-03-10 完成热修复<\/li> <\/ul> （注：实际漏洞细节已脱敏处理，关键参数名称经过修改）<\/p>