越权漏洞是Web应用系统中一种常见的漏洞类型,被OWASP评为Top10风险,漏洞往往会导致敏感信息的泄露或数据被非法篡改.针对某省市个人社保经办系统,给出了一种攻击方法实例,采用渗透测试方法,从用户冒用、数据截取、报文修改及自动化扒取4个方面深入介绍了攻击流程、漏洞利用结果,分析了与其他漏洞之间的关联性关系及可能造成的风险.最后对漏洞原理进行说明,给出了几种漏洞防护策略.研究证明了越权漏洞在互联网大数据时代可能造成的严重后果,也反映了作为网络系统运营方保护其重要信息系统网络安全的迫切性与必要性.

• 单位
  江苏省电子信息产品质量监督检验研究院