前端JS接口泄露引发的权限越权漏洞实战分析

1. 项目概述：一次由前端接口引发的权限风暴

最近在复盘一些内部安全评估的案例时，一个典型的场景反复出现，让我觉得非常有必要拿出来聊聊。这个场景的核心，就是从看似无害的前端JavaScript接口入手，最终拿到了系统最高权限。听起来有点玄乎？其实原理并不复杂，但组合起来威力巨大，尤其在一些特定类型的应用里，比如教育管理系统、OA系统，甚至是某些SaaS平台，一抓一个准。我这次要拆解的，就是一个通过前端JS文件泄露的接口，配合逻辑漏洞，最终横向渗透拿下多个学校管理后台超管权限的完整过程。

这个案例特别适合刚接触网络安全的朋友。它不涉及高深的二进制漏洞，也不需要复杂的绕过技巧，核心在于对业务流程的理解、对信息的敏感度，以及那么一点点的“好奇心”。整个过程就像在玩一个解谜游戏，每一步的发现都会引导你走向下一步。我们将从最基础的信息收集开始，到接口分析、漏洞利用、权限提升，最后完成横向移动。我会把每个环节的思路、用到的工具、踩过的坑都详细记录下来，目标是让你看完后，不仅能复现这个案例，更能掌握这种“由点到面”的渗透测试思维。无论你是想转行安全，还是开发人员想自查漏洞，这篇文章都能给你带来实实在在的收获。

2. 核心思路与攻击链拆解

在动手之前，我们必须先理清整个攻击的逻辑链条。漫无目的地测试就像大海捞针，效率极低。本次攻击的核心思路，我称之为“前端溯源，逻辑破局”。

2.1 攻击链全景图

整个攻击流程可以清晰地划分为四个阶段，它们环环相扣：

1. 信息收集与资产发现：这不是简单跑个扫描器。我们的目标是找到一批具有相似特征的目标，例如同一厂商开发的、供不同学校使用的管理系统。关键在于发现那些被公开访问，但本身并非预设攻击目标的前端资源（如JavaScript文件）。
2. 前端接口分析与逆向：这是本次攻击的突破口。现代Web应用大量依赖前端JavaScript调用后端API。这些JS文件中可能硬编码了API地址、参数结构，甚至是一些未鉴权的接口路径。我们的任务就是像考古一样，从压缩混淆的JS代码中挖掘出有价值的信息。
3. 逻辑漏洞利用与权限获取：找到接口后，重点测试其业务逻辑是否存在缺陷。例如，越权访问、未授权访问、密码重置逻辑漏洞等。这一步的目标是获取一个初始立足点，可能是一个普通用户权限，甚至是某个管理功能的使用权。
4. 权限提升与横向移动：获得初始权限后，我们需要在系统内部“逛一逛”，寻找提升至超级管理员权限的方法。同时，利用在第一阶段发现的资产关联性，尝试将在一个系统上获得的权限或方法，复用到其他同类系统上，实现横向移动。

这个链条的关键在于，它避开了对传统漏洞（如SQL注入、命令执行）的依赖，更侧重于业务逻辑和配置错误。这类问题往往更难被自动化工具发现，也更容易被开发人员忽视。

2.2 为什么选择这个切入点？

很多新手会执着于寻找SQL注入或XSS这类“标准”漏洞。但在实际针对现代Web应用的测试中，尤其是对具有一定规模的产品，从前端JS入手往往效率更高，原因有三：

第一，前端代码是暴露给所有人的。只要你能访问页面，就能看到引用的所有JS文件。这相当于对手把一部分“设计图”公开给你看了。第二，前端与后端的交互逻辑必然体现在API调用上。分析这些调用，能让你快速理解整个应用的功能模块和数据流向，比黑盒测试快得多。第三，开发人员在前后端分离的架构下，容易产生认知偏差。他们可能认为前端代码混淆了就安全了，或者认为后端接口只要不被直接暴露就没事，从而在前端代码中遗留敏感信息或调用了一些本应隐藏的调试接口。

注意：所有测试必须在获得明确授权的环境中进行，例如自己搭建的靶场、提供的测试系统，或参与合法合规的众测项目。未经授权对任何系统进行测试都是违法行为。

3. 第一阶段：信息收集与目标定位

渗透测试始于信息收集，质量决定了后续所有工作的效率。我们的目标不是单个网站，而是一类使用相同系统的网站群。

3.1 资产发现与指纹识别

首先，我们需要找到目标。假设我们通过某种渠道（如行业展会、供应商名单）了解到某公司开发了一套“智慧校园综合管理平台”，并出售给全国多所中小学。我们的首要任务是找到哪些学校部署了这套系统。

这里可以使用多种方法：

• 搜索引擎语法：使用site:edu.cn intitle:"智慧校园管理平台"或inurl:"/login.aspx" "Powered by XXX科技"这类组合进行搜索。重点留意页脚、登录页面底部、错误页面中的版权信息、厂商名称。
• 网络空间测绘引擎：如Shodan、Fofa、Zoomeye。这是更高效的手段。我们可以使用特征关键词进行搜索，例如：
  • 搜索特定的HTML标题：title="智慧校园管理平台"
  • 搜索特定的Cookie或Header：header="Set-Cookie: PlatformSession"
  • 搜索特定的路径或文件：path="/static/js/vendor.xxxxx.js"或body="js/app.版本号.js"
  • 搜索特定的产品名称：app="XXX-校园管理平台"
• 备案信息与子域名挖掘：针对已知的某个学校主站，利用工具（如subfinder, amass, OneForAll）挖掘其子域名。管理后台很可能位于oa.xxx.edu.cn,admin.xxx.edu.cn,mis.xxx.edu.cn这类子域名下。

通过以上方法，我们最终收集到了数十个疑似使用同一套系统的学校管理后台地址，列表类似：admin.school-a.edu.cn,platform.school-b.edu.cn,oa.school-c.edu.cn。

3.2 前端代码抓取与分析

确定目标列表后，我们选择一个作为首要分析对象。打开其登录页面，按F12打开开发者工具，切换到“网络”(Network)选项卡，刷新页面。

这里的关键是查看加载了哪些JavaScript文件。我们特别关注两类文件：

1. 以chunk、vendor、app等命名的文件：这些通常是Webpack等打包工具生成的主应用文件。
2. 名称带有明显功能或模块特征的JS文件：如user.js,admin.js,api.js。

将这些JS文件保存到本地。它们通常是经过压缩（Minify）或混淆（Obfuscate）的，可读性极差。我们需要进行初步格式化。

实操步骤：

1. 使用浏览器开发者工具的“源代码”(Sources)面板，找到目标JS文件，直接全选复制。
2. 使用在线工具（如 beautifier.io）或本地工具（如js-beautifynpm包）进行代码格式化。

   # 安装js-beautify npm -g install js-beautify # 格式化JS文件 js-beautify ugly.js -o pretty.js

3. 格式化后，代码结构会清晰很多，但变量名可能仍是混淆后的（如a, b, c, _0x1a2b3c）。这时需要搜索关键词。

搜索哪些关键词？

• API路径相关：/api/,/rest/,/ajax/,.json,url:,path:,endpoint
• HTTP方法：GET,POST,PUT,DELETE,PATCH
• 参数名：搜索像userId,admin,role,password,reset,upload,delete这类敏感词汇。
• 特定字符串：有时会直接包含完整的URL，搜索http://或https://。

经过一番搜索，在一个名为app.xxxxxx.js的文件中，我发现了一段有趣的代码片段（已脱敏和美化）：

const API_CONFIG = { userLogin: '/api/v1/user/login', getInfo: '/api/v1/user/info', updatePassword: '/api/v1/user/password', // ... 其他用户接口 adminList: '/api/admin/user/list', adminAdd: '/api/admin/user/add', adminResetPwd: '/api/admin/user/resetPwd', // 注意这个接口！ systemConfig: '/api/admin/system/config', // ... 更多管理接口 };

这段代码清晰地列出了前后端交互的API列表。其中，/api/admin/user/resetPwd这个管理员重置用户密码的接口，引起了我的高度警觉。它出现在前端代码中，意味着前端页面某处可能调用了它。但关键问题是：调用这个接口需要怎样的权限？前端是如何控制只有管理员才能访问的？

4. 第二阶段：接口审计与逻辑漏洞挖掘

找到可疑接口只是第一步，接下来需要验证其安全性。我们发现了adminResetPwd接口，现在要测试它。

4.1 未授权访问与越权测试

首先，最直接的测试是未授权访问。不登录任何账号，直接构造请求访问这个接口。

# 使用curl工具测试 curl -X POST https://target-site.com/api/admin/user/resetPwd \ -H "Content-Type: application/json" \ -d '{"userId": "10001", "newPassword": "Hacked@123"}'

如果返回“未授权”、“请登录”或403状态码，说明有基础的权限校验。如果返回“用户不存在”、“参数错误”甚至成功重置的提示，那问题就严重了，属于未授权访问漏洞。

但更常见的情况是，系统校验了登录状态，但没校验角色。这就是水平越权或垂直越权。为了测试这点，我们需要先获得一个普通用户账号。

如何获得测试账号？

1. 注册功能：很多系统开放注册，尽管可能是学生或教师注册。
2. 默认弱口令：尝试admin/admin,admin/123456,test/test等。
3. 密码重置逻辑漏洞：如果系统有“忘记密码”功能，这里常常是逻辑漏洞的重灾区（如验证码可爆破、邮箱/手机号可篡改、重置链接可预测等）。通过利用这类漏洞，我们可以接管一个已存在的普通用户账号。

假设我们通过“忘记密码”功能，利用验证码未失效、可重复使用的漏洞，重置并登录了一个学生账号student01。

4.2 关键接口的越权验证

登录student01账号后，我们再次测试那个管理员接口。但这次，我们需要“伪装”请求。打开浏览器开发者工具，进行正常的操作（如查看个人资料），观察一个已登录状态下的API请求是什么样的。重点关注请求头：

• Cookie: session_id=xxxxxx
• Authorization: Bearer xxxxxx(JWT Token常见)
• 自定义Header如X-Auth-Token: xxxxxx

复制这些认证信息，然后使用工具（如Burp Suite的Repeater模块，或Postman）手动构造一个重置密码的请求。

使用Burp Suite测试流程：

1. 浏览器设置代理指向Burp。
2. 用student01账号进行任意操作，Burp会截获请求。
3. 在Proxy -> HTTP history中找到一条携带了认证信息的请求，右键发送到Repeater。
4. 在Repeater中，将请求方法改为POST，URL改为完整的https://target-site.com/api/admin/user/resetPwd，Body改为JSON格式{"userId": "10002", "newPassword": "NewPass@123"}。这里的userId可以尝试其他同学、老师，甚至管理员的ID（ID枚举通常有规律，如从1开始递增）。
5. 点击Send，观察响应。

可能的结果与应对：

• 响应403 Forbidden：系统校验了角色，普通用户无法访问管理员接口。这是正常情况。
• 响应“权限不足”等业务提示：同上，说明后端有角色校验。
• 响应“用户不存在”：这是一个好迹象！说明接口接收了我们的请求并处理了，只是目标用户ID不对。这意味着接口可能没有做严格的角色校验，只要登录就能调用。
• 响应“密码重置成功”或类似：最严重的情况，垂直越权漏洞直接利用成功。

在我的测试案例中，返回了“用户不存在”。这说明/api/admin/user/resetPwd这个接口，仅校验了用户是否登录，并未校验登录的用户是否是管理员。这是一个典型的**功能级访问控制缺失（Broken Function Level Authorization）**漏洞。

4.3 漏洞利用：从普通用户到任意用户密码重置

既然接口只认登录状态，不认角色，那么理论上，登录后的任何用户（包括学生）都可以重置任何其他用户的密码。我们需要解决两个问题：目标用户ID和接口参数格式。

1. 枚举有效用户ID：用户ID往往是自增数字。我们可以编写一个简单脚本进行批量枚举。为了不触发账号锁定，我们利用接口返回的信息差异。

• 如果用户ID存在，接口可能返回“密码重置成功”（如果漏洞完全未防护）或“重置链接已发送至邮箱”（如果走邮箱流程）。
• 如果用户ID不存在，接口返回“用户不存在”。 这种差异足以让我们判断哪些ID是有效的。我们可以从10001开始，递增测试到10100，寻找管理员常用的ID范围（如10001,admin,1,1000等）。

一个简单的Python枚举脚本示例（需替换Cookie/Token）：

import requests import json url = "https://target-site.com/api/admin/user/resetPwd" headers = { "Content-Type": "application/json", "Cookie": "session_id=YOUR_STUDENT_SESSION_ID", # 替换成你登录student01后的Cookie # 或 "Authorization": "Bearer YOUR_JWT_TOKEN" } for user_id in range(10001, 10101): data = { # 注意：实际参数名可能不同，可能是`id`、`username`、`account` "userId": str(user_id), "newPassword": "Hacked@123" # 或者可能是 `"type": "email"` 触发邮件重置 } resp = requests.post(url, headers=headers, json=data, verify=False) # verify=False忽略SSL警告 print(f"Testing ID {user_id}: Status {resp.status_code}, Response: {resp.text[:100]}") # 根据响应内容判断，例如包含“不存在”则跳过，包含“成功”或“发送”则记录 if "用户不存在" not in resp.text: print(f"[!] Potential valid user ID found: {user_id}") with open("valid_ids.txt", "a") as f: f.write(f"{user_id}\n")

重要提示：实际测试中，参数名、响应信息都需要根据目标系统实际情况调整。务必先手动测试几次，确定请求格式和响应规律后再自动化。

2. 利用漏洞重置密码：假设我们枚举发现用户ID1001是有效的（可能是一个老师或管理员）。我们直接向该接口发送重置密码请求。如果接口允许直接设置新密码，那么我们就可以用新密码登录账号1001。如果接口是触发邮件重置，我们就需要结合其他漏洞（如邮箱劫持、重置链接预测）来完成利用，或者这本身就是一个信息泄露漏洞（通过响应差异暴露用户注册邮箱）。

在我的案例中，该系统设计是管理员在后台可以直接输入新密码进行重置。因此，利用student01的会话，我成功将用户1001的密码修改为了已知值。

5. 第三阶段：权限提升与后台突破

通过越权重置，我们获得了一个权限更高的账号（可能是教师、院系管理员）。但这还不是终点，我们的目标是超级管理员。

5.1 后台功能探索与信息收集

登录新获得的账号（假设是teacher1001）。这个账号的权限显然比学生高，能看到更多菜单和功能。我们需要系统地探索：

• 个人信息页：可能包含工号、部门、角色等，这些信息有助于理解用户体系。
• 系统管理/用户管理模块：即使不能增删改，查看列表的权限也可能存在。用户列表会暴露所有用户的账号、姓名、角色（如“超级管理员”、“系统管理员”、“教师”、“学生”）。
• 任何数据导出功能：如导出学生名单、成绩单。这些功能有时会泄露更多字段，甚至包含加密不严的密码。
• URL路径尝试：在浏览器地址栏手动访问一些常见的后台路径，如/admin/,/super/,/system/，或者根据之前JS文件中发现的API路径去推测后台页面路径。

在用户列表里，我发现了关键信息：一个用户角色为“超级管理员”，用户名为sysadmin。记下这个目标。

5.2 二次越权与垂直权限提升

现在，我们手头有两个武器：1. 一个中等权限的账号 (teacher1001)。2. 一个存在越权漏洞的接口 (/api/admin/user/resetPwd)。

我们能否用teacher1001的权限，去重置sysadmin的密码？直接测试！使用teacher1001的会话Cookie，向重置接口发送请求，目标用户ID设为sysadmin或其对应的数字ID。

结果分析：

• 如果成功，恭喜，我们直接获得了超管权限。这说明该接口的权限校验形同虚设，任何已登录用户都可重置任意用户密码。
• 如果失败（返回“权限不足”），说明系统对teacher1001和student01的权限做了区分，但区分可能不彻底。我们需要换个思路。

思路转换：寻找其他脆弱接口我们之前只分析了一个JS文件。现在用teacher1001账号登录后，浏览器会加载更多JS文件，因为前端会根据用户角色动态加载不同的功能模块。再次打开开发者工具，刷新页面，查看新加载的JS资源。

在新的管理功能相关的JS文件中，我发现了另一个接口：

// 在某个管理模块的JS中 export const updateUserRole = (userId, newRoleId) => { return axios.post('/api/admin/user/updateRole', { userId, newRoleId }); };

这个updateUserRole接口用于修改用户角色。测试它！用teacher1001的权限，尝试将teacher1001自己的角色ID修改为“超级管理员”对应的ID。

测试请求：

curl -X POST https://target-site.com/api/admin/user/updateRole \ -H "Cookie: session=TEACHER_SESSION_COOKIE" \ -H "Content-Type: application/json" \ -d '{"userId": "teacher1001", "newRoleId": 1}' # 假设1是超管角色ID

如果这个接口也存在越权，那么我们就成功将自己提升为了超级管理员。即使这个接口有严格校验，我们也可以尝试用同样的方法去修改一个低权限、不活跃的用户的角色，然后再用那个账号登录。

在我的实战中，/api/admin/user/updateRole接口同样只验证了登录状态。于是，我将自己的账号角色改为了“超级管理员”。退出重新登录后，所有后台管理功能全部解锁。

5.3 后台GetShell的常见路径

拿到超管权限后，相当于进入了系统的心脏地带。此时，获取服务器权限（GetShell）的路径就多了。在后台寻找以下功能：

1. 系统设置/文件管理：查看是否有上传Logo、上传附件的地方。尝试上传图片马（将Webshell代码嵌入图片的EXIF信息，或利用文件解析漏洞）。
2. 模板管理：很多系统允许管理员编辑前端页面模板。如果模板文件是.php,.jsp,.asp等动态语言，直接写入Webshell代码。
3. 数据库备份/恢复：该功能可能允许上传SQL文件。如果备份文件是.php格式（有些CMS会生成.php备份文件），且能被访问执行，这就是一个Shell。
4. 插件/模块管理：允许上传安装插件。可以构造一个恶意插件压缩包，其中包含Webshell。
5. 命令执行点：有些系统管理功能会调用系统命令，如“清除缓存”、“重启服务”、“Ping检测”。尝试在参数中注入命令。

实操心得：在后台找上传点，不要只盯着“文件上传”四个字。凡是能传文件的地方都试试，比如“资料导入”、“批量上传图片”、“安装包上传”。上传前先抓包，修改文件名和后缀进行测试。对于模板编辑，先查看现有模板的语法，确保你写入的代码符合模板引擎的语法，否则会被当成普通文本。

6. 第四阶段：横向移动与批量利用

拿下一个站点不是终点。我们第一阶段收集了几十个类似站点。现在，我们要验证这个漏洞是否是通杀漏洞。

6.1 漏洞普适性验证

选取另外两到三个目标站点，重复以下步骤：

1. 访问目标，查看前端JS文件，寻找相同的API路径（如/api/admin/user/resetPwd）。
2. 尝试注册或找一个普通账号。
3. 利用越权漏洞，尝试重置一个高权限用户密码或提升自己权限。

如果多个站点都存在相同问题，那么基本可以断定，这是该“智慧校园管理平台”软件本身的漏洞，而非单个站点的配置错误。这是因为开发商在代码中写死了这些接口，并且权限校验逻辑存在缺陷，所有使用相同版本系统的客户都会受影响。

6.2 自动化批量检测脚本

为了高效验证大批量目标，我们可以编写一个自动化检测脚本。这个脚本不需要进行破坏性的密码重置，只需要检测漏洞是否存在即可。我们可以通过一个无害的请求来判断。

检测逻辑：

1. 首先，需要获取一个有效的低权限用户会话（Token/Cookie）。这可以通过自动化注册（如果开放）、利用默认弱口令、或利用其他简单漏洞（如短信轰炸漏洞获取验证码）来实现。为了演示，我们假设目标系统存在一个默认测试账号test/test。
2. 用这个低权限会话，向/api/admin/user/resetPwd接口发送一个请求，尝试重置一个不存在的用户（如userId: 999999）。
3. 分析响应：
   • 如果返回“用户不存在”，说明接口可访问且处理了请求，存在越权漏洞。
   • 如果返回“权限不足”/“未授权”/403状态码，说明接口有权限控制，可能不存在漏洞（或需要更高权限的会话）。
   • 如果返回404 Not Found，说明接口路径可能不同，需要调整。

简易Python检测脚本框架：

import requests import sys def check_vulnerability(target_url): """ 检测目标站点是否存在管理员密码重置越权漏洞 """ # 1. 获取低权限会话 (这里简化了，实际可能需要模拟登录) session = requests.Session() login_url = f"{target_url}/api/v1/user/login" login_data = {"username": "test", "password": "test"} # 假设默认账号 try: login_resp = session.post(login_url, json=login_data, timeout=10, verify=False) if login_resp.status_code != 200: print(f"[{target_url}] 无法获取测试会话，跳过。") return False except Exception as e: print(f"[{target_url}] 连接失败: {e}") return False # 2. 测试越权接口 test_url = f"{target_url}/api/admin/user/resetPwd" test_data = {"userId": "999999999", "newPassword": "JustATest123!"} try: test_resp = session.post(test_url, json=test_data, timeout=10, verify=False) resp_text = test_resp.text # 关键判断逻辑 if "用户不存在" in resp_text: print(f"[!] 漏洞可能存在: {target_url} - 接口响应: {resp_text[:50]}") return True elif "权限" in resp_text or test_resp.status_code == 403: print(f"[+] 接口有权限控制: {target_url}") return False else: print(f"[?] 未知响应: {target_url} - 状态码: {test_resp.status_code}, 响应: {resp_text[:100]}") return False except Exception as e: print(f"[{target_url}] 测试请求失败: {e}") return False if __name__ == "__main__": # 从文件读取目标列表 with open("targets.txt", "r") as f: targets = [line.strip() for line in f if line.strip()] vulnerable_sites = [] for target in targets: if check_vulnerability(target): vulnerable_sites.append(target) print(f"\n检测完成。可能存在漏洞的站点({len(vulnerable_sites)}个):") for site in vulnerable_sites: print(site)

重要警告：此脚本仅为教学演示原理。在真实环境中，未经授权的自动化测试可能违反法律和道德规范，并可能对目标系统造成意外影响（如触发告警、产生垃圾数据）。必须在获得明确授权的范围内使用。

6.3 影响范围评估与报告

通过批量检测，我们确认了有N个站点存在相同的漏洞。至此，一次完整的从JS接口发现到批量验证的渗透测试流程就结束了。对于白帽子或安全工程师来说，接下来的关键步骤是撰写一份清晰的安全报告。

报告核心要素：

1. 漏洞标题：精确描述，如“智慧校园管理平台后台密码重置功能越权访问漏洞”。
2. 风险等级：通常定为“高危”或“严重”，因为可直接导致超管权限泄露。
3. 漏洞详情：
   • 触发位置：POST /api/admin/user/resetPwd
   • 漏洞描述：该接口未对调用者进行管理员角色校验，导致任何已登录的低权限用户（如学生）均可重置任意用户（包括超级管理员）的密码。
   • 复现步骤：分步说明，从登录普通账号到利用漏洞重置管理员密码。
   • 请求/响应示例：附上抓包数据（脱敏后）。
4. 影响范围：列出所有受影响的客户站点（提供给厂商）。
5. 修复建议：
   • 在后端接口/api/admin/user/resetPwd和/api/admin/user/updateRole等所有管理功能入口处，添加严格的角色权限校验。
   • 建议使用基于角色的访问控制（RBAC）中间件，统一处理权限校验。
   • 对前端代码进行审查，避免将高权限接口路径硬编码在暴露给所有用户的JS文件中。
   • 建议对敏感操作（如密码重置、角色变更）增加二次认证（如手机验证码、邮箱确认）。

7. 防御策略与安全开发建议

站在防御者和开发者的角度，这个案例给我们上了深刻的一课。漏洞的根源在于“信任前端”和“权限校验缺失”。

7.1 前端代码的安全误区

很多开发团队认为，前端代码经过压缩混淆就安全了，或者认为接口地址藏在前端代码里没关系，反正后端有校验。这是非常危险的观念。

• 误区一：混淆即安全。混淆只能增加阅读难度，无法隐藏逻辑。敏感接口路径、业务逻辑流程依然暴露无遗。
• 误区二：接口地址不是秘密。确实，接口地址本身不一定是秘密，但前端代码暴露了哪些接口存在、参数结构如何，极大地降低了攻击者的探测成本。

安全建议：

• 最小化暴露：前端只应包含它必须使用的接口。管理后台的接口JS文件，绝不应该被普通用户角色的页面加载。
• 动态接口映射：可以考虑由后端在用户登录后，动态下发一个该角色可访问的API端点映射表，而不是硬编码在前端。
• 代码审查：将安全审查纳入前端代码的代码审查流程，检查是否有硬编码的敏感路径、密钥或逻辑。

7.2 后端权限校验的黄金法则

“永远不要相信客户端传来的任何信息”。这是安全开发的第一原则。权限校验必须放在后端，并且要贯穿始终。

• 功能级访问控制（BFLA）：每个API接口，在处理业务逻辑之前，必须先验证当前会话用户是否有权执行此操作。不能仅仅检查用户是否登录，必须检查用户的角色或权限点。
• 数据级访问控制（BOLA/IDOR）：在操作具体数据时，要验证当前用户是否有权操作目标数据。例如，重置密码时，不仅要检查调用者是不是管理员，还要检查管理员是否有权管理目标用户所在的部门（如果需要）。普通用户修改个人信息时，要校验userId参数是否等于当前会话的userId。
• 使用成熟的权限框架：不要自己从头实现复杂的权限系统。根据所用技术栈，选择成熟的权限框架（如Spring Security, Apache Shiro, CASL等），并正确配置和使用它们。

7.3 安全测试 Checklist

开发完成后，安全测试应重点关注以下方面：

1. 未授权访问：不登录，直接访问所有API接口和页面路径。
2. 越权测试：
   • 水平越权：用用户A的Token，尝试操作属于用户B的数据（修改B的资料、查看B的订单）。
   • 垂直越权：用低权限角色（如用户）的Token，尝试访问高权限（如管理员）的接口。
3. 接口暴露审查：使用浏览器开发者工具，完整爬取前端加载的所有JS文件，人工或使用工具扫描其中暴露的API路径，并逐一进行越权测试。
4. 敏感操作加固：对于密码重置、支付、删除、权限变更等操作，实施二次确认、验证码、操作日志审计等措施。

这个从JS文件开始的渗透之旅，清晰地展示了一个微小的逻辑疏漏如何演变成系统性的安全灾难。对于攻击者，它是一条清晰的路径；对于防御者，它是一份宝贵的检查清单。安全是一个持续的过程，而非一劳永逸的状态，时刻保持对信任边界的警惕，是构筑可靠系统的基石。