移动端任意用户接管漏洞：发现与利用教学文档<\/h1>

0x01 漏洞简介<\/h2>

该漏洞存在于某移动端应用中，属于身份认证与会话管理缺陷<\/strong>，攻击者可在未授权的情况下接管任意用户的账户<\/strong>，获取其敏感数据与操作权限。漏洞核心问题在于服务端对用户标识符（如userId<\/code>、token<\/code>或会话ID）的校验机制不完善，导致越权访问。<\/p>

0x02 漏洞危害<\/h2> 任意用户账户接管<\/strong>：攻击者可访问、修改他人账户信息。<\/li> 敏感信息泄露<\/strong>：如个人资料、私密内容、交易记录等。<\/li> 未授权操作<\/strong>：可执行如支付、发布内容、修改密码等敏感操作。<\/li> 业务逻辑破坏<\/strong>：影响平台信誉与用户信任。<\/li> <\/ul> 0x03 漏洞复现过程<\/h2> 一、挖掘过程<\/h3> 1. 初步观察与疑点<\/h4> 使用抓包工具（如Burp Suite、Charles）拦截移动端App的HTTP\/HTTPS请求。<\/li> 关注涉及用户身份的API接口（如\/user\/profile<\/code>、\/api\/getUserInfo<\/code>等）。<\/li> 注意请求参数中是否包含可预测或可篡改的用户标识（如userId<\/code>、uid<\/code>、token<\/code>）。<\/li> <\/ul> 2. 代码审计与端点搜索<\/h4> 若具备客户端代码（如Android APK），反编译后搜索关键词： userId<\/code>、uid<\/code>、user_id<\/code><\/li> token<\/code>、session<\/code>、authentication<\/code><\/li> API端点路径（如\/api\/<\/code>、\/user\/<\/code>）<\/li> <\/ul> <\/li> 重点关注身份验证相关的逻辑，尤其是服务端返回数据后的本地处理过程。<\/li> <\/ul> 3. 分析鉴权机制<\/h4> 检查请求中身份标识的传递方式：是否通过URL参数、请求头（如Authorization<\/code>）、Cookie或Body传递。<\/li> 是否仅依赖客户端传来的标识符而未做服务端二次校验。<\/li> <\/ul> <\/li> <\/ul> 4. 再次验证<\/h4> 修改请求中的用户ID为其他用户的ID，重放请求： GET<\/span> \/api\/userInfo?userId=12345 HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> target.com<\/span> <\/span><\/span>Authorization:<\/span> Bearer <attacker_token><\/span> <\/span><\/span><\/code><\/pre><\/li> 若返回其他用户信息，则存在IDOR（Insecure Direct Object Reference）类漏洞。<\/li> <\/ul> 5. 发现异常响应<\/h4> 在某些接口中，发现即便使用其他用户的ID，服务端仍返回200 OK及该用户数据。<\/li> 可能伴随响应中返回完整用户对象（如邮箱、手机号、令牌等）。<\/li> <\/ul> 6. 发现关键漏洞<\/h4> 某关键接口（如账户绑定、密码重置、登录态刷新）允许通过修改userId<\/code>参数直接操作他人账户。<\/li> 例如： POST<\/span> \/api\/changePassword HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Content-Type:<\/span> application\/json<\/span> <\/span><\/span> <\/span><\/span>{"userId"<\/span>: "victim_id"<\/span>, "newPassword"<\/span>: "hacked"<\/span>} <\/span><\/span><\/code><\/pre><\/li> <\/ul> 7. 完全接管测试<\/h4> 通过篡改userId<\/code>，成功修改他人密码并登录其账户。<\/li> 验证可访问其私密数据、执行敏感操作。<\/li> <\/ul> 为什么会有这个漏洞？<\/h4> 服务端未对请求中的用户标识做有效性校验。<\/li> 依赖客户端传递的身份参数，未与当前登录会话绑定。<\/li> 缺乏权限控制层（RBAC或ABAC）对操作进行鉴权。<\/li> <\/ul> 0x04 修复建议<\/h2> 一、职责分离<\/h3> 服务端应完全自主管理用户会话与身份，不信任客户端传来的身份标识。<\/li> 使用服务端生成的会话ID（如JWT或Session Cookie）作为唯一可信凭据。<\/li> <\/ul> 二、加强认证机制<\/h3> 服务端校验<\/strong>：<\/p> 所有敏感操作需校验当前登录用户是否具备操作目标资源的权限。<\/li> 示例代码（伪代码）： String currentUserId =<\/span> getCurrentUserIdFromSession();<\/span> <\/span><\/span>String targetUserId =<\/span> request.<\/span>getParameter<\/span>(<\/span>"userId"<\/span>);<\/span> <\/span><\/span>if<\/span> (!<\/span>currentUserId.<\/span>equals<\/span>(<\/span>targetUserId))<\/span> {<\/span> <\/span><\/span> throw<\/span> new<\/span> AccessDeniedException();<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 使用不可预测的标识符<\/strong>：<\/p> 避免使用自增ID作为用户标识，改用UUID或随机字符串。<\/li> <\/ul> <\/li> 接口权限控制<\/strong>：<\/p> 引入统一的权限中间件，对所有接口进行鉴权。<\/li> 实施最小权限原则（Principle of Least Privilege）。<\/li> <\/ul> <\/li> 日志与监控<\/strong>：<\/p> 记录所有敏感操作的访问日志，实时监控异常行为（如频繁跨用户访问）。<\/li> <\/ul> <\/li> <\/ol> 附录：常见测试Payload<\/h2> 参数<\/th> 测试值<\/th> <\/tr> <\/thead> userId<\/td> 其他用户的ID（如12345）<\/td> <\/tr> uid<\/td> 其他用户的UID<\/td> <\/tr> token<\/td> 替换为其他用户的token（如有）<\/td> <\/tr> Authorization<\/td> 篡改Bearer Token中的用户标识<\/td> <\/tr> <\/tbody> <\/table> 如果有新的想法，欢迎随时和我讨论！<\/p>

参数<\/th>	测试值<\/th> <\/tr> <\/thead>
userId<\/td>	其他用户的ID（如12345）<\/td> <\/tr>
uid<\/td>	其他用户的UID<\/td> <\/tr>
token<\/td>	替换为其他用户的token（如有）<\/td> <\/tr>
Authorization<\/td>	篡改Bearer Token中的用户标识<\/td> <\/tr> <\/tbody> <\/table> 如果有新的想法，欢迎随时和我讨论！<\/p>