7.R2 入口濫用與權限突破
7.R2 入口濫用與權限突破
本章處理紅隊(攻擊者視角的風險檢查)分析的第二步:把合法流程轉成濫用路徑,評估哪條業務流程最容易變成越權操作。目標是讓權限設計與業務流程一起驗證,避免只檢查單點 API。
【情境】哪些流程需要優先做濫用分析
下列流程通常優先納入濫用分析:
- 邀請、審核、代理操作、帳號切換
- 密碼重設、權限提升、方案升降級
- 匯出、分享、批次操作
- 跨租戶協作與第三方授權
【判讀流程】三層檢查法
- 目的層:確認每個流程的正常商業目的與預期受益者。
- 權限層:沿流程標示 authentication、authorization 與 Tenant Boundary 切換點。
- 濫用層:列出 BOLA / IDOR 與 Function-Level Authorization 可觸發的非預期結果。
【風險代價】流程越長,放大效果越強
濫用路徑成功時,代價通常高於一般漏洞:它看起來像合法操作,偵測延遲較長,資料外流量可能更高,回溯也更困難。流程級分析越完整,越能縮小事故調查範圍並減少誤封。
【設計取捨】操作便利性與授權嚴謹度
流程越順,使用者體驗越好;同時,濫用成本也可能下降。常見做法是把高風險節點加入二次驗證、操作審批或風險分層,讓低風險路徑維持流暢,高風險路徑提高檢查強度。
【最低控制面】進入實作前要先定義
- 主要流程的濫用情境清單與責任人
- 高風險動作的授權層級與審核策略
- 濫用偵測訊號與稽核欄位
- 例外流程的測試與演練節點
【判讀訊號】何時代表流程濫用風險升高
- 同一帳號在短時間內完成多段高風險流程
- 代理操作與權限提升在同一時序連續發生
- 流程中存在可跳步或可重放的關鍵節點
- 例外流程的授權審核節奏與主流程脫鉤
【風險邊界】到哪裡仍是概念層
本章在概念層回答的是流程目的、授權切換點與濫用路徑。當討論進入具體 policy code、middleware 判斷與 API 權限實作時,章節責任會切到服務實體章節。
【交接點】何時路由到實作章節
- 已完成濫用情境清單後,交接到 資安與資料保護模組 7.2。
- 已定義高風險流程的事件節奏後,交接到 事故報告轉 workflow。
【延伸閱讀】流程原子卡片
流程原子卡片的責任是把高風險流程拆成單一問題節點。每張卡片都用同一格式說明為什麼會失效、常見失效樣式、判讀訊號與案例觸發條件。