漏洞总结:不安全的直接对象引用 (IDOR) 漏洞概述 漏洞类型:不安全的直接对象引用 (Insecure Direct Object Reference, IDOR) 受影响组件:员工文档查看器 ( ) 漏洞详情:该端点仅根据文档的数值 ID 检索文档记录,未验证请求用户是否拥有该文档的所有权或访问权限。攻击者可以通过修改请求中的文档 ID,访问其他员工的敏感 HR 文件(如身份证明、合同、证书等)。 当前保护机制:仅依赖 和 装饰器,缺乏对象级别的授权检查。 影响范围 受影响版本:1.5.0 受影响用户:所有在系统中存储文档的员工。 潜在影响: 未经授权访问私人员工文件。 敏感 HR 数据泄露。 潜在的合规性或隐私问题(如果文档包含个人数据)。 修复方案 状态:None (未修复) 建议措施:在 的 函数中增加对象级授权逻辑,确保只有文档的所有者或具有特定权限的用户才能访问该文档。 概念验证 (PoC) 利用步骤: 1. 以员工账户登录。 2. 导航到用户自己的员工文档,使应用程序向文档查看器发出请求。 3. 在 Burp Suite 中观察请求路径。 4. 修改请求中的数值文档 ID 为其他员工的文档 ID(随机枚举)。 5. 重放请求。 示例请求代码: 修改后的请求代码(更改 document_id):