1. 项目概述深入理解未授权绕过漏洞的本质在网络安全的学习和实战演练中DVWADamn Vulnerable Web Application是一个绕不开的经典靶场。它把各种常见的Web漏洞按照从易到难的四个级别Low, Medium, High, Impossible封装起来供我们安全从业者、学生和爱好者进行“无害化”攻击练习。今天我们要啃下的硬骨头是“Authorisation Bypass”中文常译为“未授权绕过”或“权限绕过”漏洞。简单来说这个漏洞模拟的场景是一个Web应用对不同权限的用户比如普通用户和管理员设置了不同的访问控制。但攻击者通过某种手段在未经授权的情况下访问到了本应只有更高权限用户才能查看或操作的功能或数据。这听起来有点像“越权访问”但在DVWA的语境下它更侧重于认证Authentication和授权Authorization流程中的逻辑缺陷特别是如何绕过基于会话Session或页面跳转的权限检查。为什么这个漏洞值得单独拿出来深究因为在真实的业务系统中权限管理是安全架构的基石。一个微小的逻辑疏忽比如在关键功能页面前少做了一次权限校验就可能导致核心业务数据泄露、用户信息被篡改甚至整个系统被控制。DVWA通过四个级别的设置完美演绎了从“毫无防护”到“近乎无懈可击”的权限控制演进史。通关这个过程你不仅能学会几种经典的绕过技巧更能深刻理解“纵深防御”和“不信任任何用户输入”这两条安全铁律是如何在代码层面落地的。我个人的体会是玩转DVWA的Authorisation Bypass就像在解一套由简入繁的谜题。Low级别几乎是把答案写在脸上让你理解漏洞原理Medium级别开始设置障碍考验你的基础技巧High级别则需要更灵活的思维和知识组合而Impossible级别则展示了当前公认的最佳实践告诉你“理论上”应该如何堵住这些漏洞。接下来我们就从最基础的Low级别开始一步步拆解所有关卡。2. 环境准备与漏洞原理初探在开始实战之前确保你的DVWA环境已经正常启动并登录。通常DVWA的默认访问地址是http://你的服务器IP或localhost/dvwa/默认登录账号密码是admin/password。登录后在左侧菜单栏找到“DVWA Security”选项将安全级别设置为“Low”。然后再进入“Authorisation Bypass”模块。2.1 Low级别漏洞原理与代码审计将安全级别调至Low后我们首先点击“Authorisation Bypass”页面上的“View Source”按钮查看后端源代码。这是理解漏洞的第一步也是最重要的一步。Low级别的源码通常非常简单漏洞也显而易见。核心漏洞点分析在Low级别的代码中开发者通常会采用一种非常初级的权限检查方式。例如它可能仅仅检查用户的访问级别$_SESSION中的一个变量如$_SESSION[admin]是否等于某个值如1。如果等于则显示敏感信息如“You have admin privileges.”否则就显示普通用户信息或直接跳转。但问题在于这个检查逻辑可能存在于一个独立的“管理页面”比如admin.php中。而攻击者发现直接访问另一个本该由admin.php包含或引用的“功能页面”比如admin_get_secret.php如果这个功能页面自身没有重复进行权限校验那么攻击者就能绕过admin.php的检查直接执行管理员功能。另一种常见模式是权限校验依赖于一个GET或POST参数比如?admin1。如果服务器端只是简单地检查这个参数是否存在或等于某个值而没有将其与当前登录用户的会话信息进行强绑定那么攻击者手动修改这个参数就能轻松提升自己的权限。举个例子模拟代码逻辑假设Low级别的逻辑是这样的用户访问index.php登录后服务器设置$_SESSION[user_level] user。页面上有一个链接指向admin.php。admin.php的代码开头会检查if ($_SESSION[user_level] ! admin) { die(Access Denied); }。但是admin.php页面里通过include(admin_tool.php)引入了一个后台工具。而admin_tool.php这个文件自身没有任何权限检查。那么攻击者如果直接猜测或通过其他途径如源码泄露、目录扫描发现了admin_tool.php这个文件的直接访问地址他就可以绕过admin.php的检查直接访问http://靶场地址/admin_tool.php从而未授权使用管理员工具。在DVWA的Low级别中漏洞表现形式可能就是一个简单的“点击劫持”或“直接URL访问”。页面上可能显示“只有管理员才能点击此按钮查看内容”但这个按钮的动作可能只是一个指向某个脚本的链接。普通用户点击会提示无权但如果你直接浏览器访问那个脚本的URL就可能成功。我们的任务就是找到这个“真正的”功能入口。2.2 必备工具与信息收集虽然Low级别可能不需要复杂工具但养成好的习惯很重要。我建议在开始前准备好以下两样东西浏览器开发者工具F12这是我们的主力侦察工具。我们将主要使用“网络Network”和“元素Elements”面板。网络面板用于捕获页面加载和表单提交时产生的所有HTTP请求和响应。重点关注请求的URL、方法GET/POST、参数、以及响应头/体。有时候权限校验失败时服务器返回的HTTP状态码如302重定向403禁止200成功但内容不同会告诉我们很多信息。元素面板用于查看页面HTML结构。寻找隐藏的表单字段input typehidden、被禁用的按钮、注释掉的链接或者JavaScript代码。这些地方可能包含指向功能页面的线索或者权限校验的逻辑。一个简单的笔记记录下你每一步的操作、观察到的URL、参数以及服务器的反应。这对于分析漏洞模式和后续应对更高级别的防护至关重要。对于Low级别我们的攻击思路通常是“直接访问法”或“参数修改法”。通过查看页面源码前端HTML和请求响应找到那个真正执行敏感操作的端点Endpoint然后尝试绕过前端限制直接访问它。3. Low级别通关实战直击漏洞核心现在我们进入DVWA的Authorisation Bypass (Low) 页面。页面上通常会有一段描述比如“这个页面包含一个只有管理员才能访问的内容”并有两个按钮或链接“Login as admin”和“View sensitive information”。作为普通用户点击“View sensitive information”可能会失败。第一步前端侦察与分析按下F12打开开发者工具切换到“元素Elements”面板。仔细查看这两个按钮对应的HTML代码。你可能会发现类似这样的结构!-- 普通用户看到的按钮可能指向一个检查脚本 -- a hrefcheck_permission.phpView sensitive information/a !-- 或者是一个表单提交到某个地址 -- form actionadmin_area.php methodPOST input typehidden nameaction valueview_info input typesubmit valueView sensitive information /form同时留意页面是否有注释、隐藏的div或者被disabled属性禁用的元素。有时管理员功能的真实链接就藏在注释里。第二步网络请求监控保持开发者工具的“网络Network”面板开启并勾选“保留日志Preserve log”。然后分别点击“Login as admin”如果你有凭据和“View sensitive information”按钮。观察点击“View sensitive information”后浏览器实际向哪个URL发送了请求是GET还是POST携带了哪些参数。重点查看服务器的响应。如果返回的是“Access Denied”或一个重定向状态码302Location指向登录页记下这个重定向的目标URL。有时绕过这个重定向就是关键。第三步尝试直接访问与参数操控根据前两步收集的信息开始尝试。场景A直接访问功能页面。如果你在HTML注释或网络请求中发现了像admin_area.php、secret.php、get_flag.php这样的疑似功能页面直接在浏览器地址栏输入其完整URL进行访问。例如如果DVWA安装在http://localhost/dvwa/你可以尝试访问http://localhost/dvwa/vulnerabilities/authbypass/admin_area.php。场景B修改请求参数。如果请求是带参数的比如check_permission.php?usernormal尝试将参数修改为check_permission.php?useradmin或check_permission.php?admin1。如果是POST请求你可以使用浏览器插件如HackBar或直接使用“网络”面板的“编辑并重发Edit and Resend”功能修改参数值后重新发送请求。第四步结果验证与理解在Low级别上述方法通常能立刻成功。页面会显示原本应该只有管理员才能看到的内容比如一段密钥Key、一句祝贺词或者一个“Success”的提示。此时回到“View Source”查看后端代码你会看到类似下面这种脆弱的校验逻辑// Low级别示例代码模拟 if ($_GET[admin] 1) { echo Congratulations! You have admin privileges. The secret key is: xxxxx; } else { echo Access Denied.; }这段代码的问题在于它完全信任客户端传来的admin参数。只要攻击者手动构造?admin1就能轻松绕过。它没有将权限状态与服务器端的用户会话Session进行绑定。实操心得在Low级别养成“不看广告看疗效”的习惯。不要被前端的文字提示如“只有管理员可点击”所迷惑一定要用开发者工具去看背后实际的网络请求和页面结构。很多初级漏洞的绕过就是一次简单的直接URL访问。4. Medium级别攻防应对基础的服务器端检查将DVWA安全级别切换到“Medium”然后刷新Authorisation Bypass页面。你会发现Low级别那种直接改参数的方法可能失效了。页面可能会返回“Access Denied”或者直接跳转到其他页面。这说明服务器端增加了一些检查。4.1 Medium级别防护机制分析点击“View Source”查看Medium级别的代码。与Low级别相比开发者通常会引入一些简单的服务器端校验。常见的防护手段包括检查HTTP Referer头代码可能会检查请求头中的Referer字段判断请求是否来自“合法的”上一个页面。例如只有从index.php或admin_home.php发来的请求才被接受。这是一种试图确保请求流符合预期的做法。使用Token或一次性参数页面可能生成一个随机的Token如csrf_token并在提交时验证这个Token。但这在权限绕过场景下如果Token生成和校验逻辑不与会话绑定或者Token可以被预测/获取则可能被绕过。简单的会话变量检查可能不再检查简单的GET/POST参数而是检查$_SESSION[role]或$_SESSION[admin]。但如果会话管理本身存在缺陷如会话固定、会话劫持或者检查逻辑有瑕疵如使用弱比较而非强比较仍可能被绕过。基于IP的初级限制极少数情况下可能会检查客户端IP是否在白名单内。但这在存在代理、负载均衡或IP欺骗的情况下效果有限。对于Medium级别我们的攻击策略需要升级从“蛮力直接访问”转向“分析并模拟合法请求”。4.2 绕过Referer检查实战假设Medium级别的防护是检查Referer。我们的攻击步骤如下确认Referer检查的存在使用开发者工具的网络面板查看一个正常访问被拒绝的请求。在请求头中你可以看到当前请求的Referer。同时查看服务器源码确认是否存在类似if ($_SERVER[HTTP_REFERER] ! http://expected-page.com) { die(); }的代码。伪造Referer请求头既然服务器只认某个特定的Referer那我们就在请求中手动加上它。这里不能直接在浏览器地址栏修改需要借助工具。方法一使用浏览器插件安装如“ModHeader”或“HackBar”这类可以修改HTTP请求头的插件。添加一个名为Referer的请求头其值设置为服务器期望的URL例如http://localhost/dvwa/vulnerabilities/authbypass/index.php。方法二使用命令行工具curl在终端中执行curl -H Referer: http://localhost/dvwa/vulnerabilities/authbypass/index.php http://localhost/dvwa/vulnerabilities/authbypass/admin_area.php方法三使用Python requests库写一个简单的Python脚本。import requests url http://localhost/dvwa/vulnerabilities/authbypass/admin_area.php headers {Referer: http://localhost/dvwa/vulnerabilities/authbypass/index.php} response requests.get(url, headersheaders) print(response.text)发起请求并验证配置好伪造的Referer头后再次访问目标功能页面admin_area.php。如果绕过成功你将看到管理员内容。注意事项伪造Referer是HTTP协议层面的简单欺骗现代浏览器出于安全考虑在某些严格模式下如使用fetchAPI且模式为no-cors可能不允许前端JavaScript随意修改Referer。但对于服务器端发起的请求如curl、Python或浏览器插件修改的请求此方法通常有效。这揭示了依赖Referer进行安全校验是极不可靠的因为它完全由客户端控制。4.3 利用逻辑缺陷或会话问题如果Medium级别采用的是会话检查但存在逻辑问题我们可能需要尝试会话攻击。例如会话固定Session Fixation如果应用在登录后不更新会话ID攻击者可以先获取一个会话IDSession ID诱骗管理员用这个ID登录从而获得管理员权限。但在DVWA的Authorisation Bypass挑战中更常见的可能是检查逻辑本身有误。弱类型比较绕过PHP的松散比较是一个著名的陷阱。例如如果代码是if ($_SESSION[admin] 1)那么$_SESSION[admin]值为字符串1admin或布尔值true时条件也可能成立。但这需要我们能控制会话变量的值在单纯的权限绕过挑战中较难实现通常在其他漏洞如文件包含、反序列化配合下使用。对于单纯的Authorisation BypassMedium级别的核心往往是理解服务器新增了哪种校验并找到客户端可以操控的入口点去满足或绕过它。Referer伪造是最典型和直接的案例。5. High级别挑战多维度校验与组合绕过将安全级别调至“High”。这个级别的防护通常会更加全面可能组合了多种校验机制例如同时检查Referer、User-Agent、自定义Token并且校验逻辑更加严格。我们的目标不再是找到单一漏洞点而是需要像解连环锁一样逐一满足或绕过这些条件。5.1 高级别防护策略深度解析查看High级别的源代码你可能会发现类似这样的复合校验逻辑// High级别示例代码模拟 $expected_referer http:// . $_SERVER[HTTP_HOST] . /dvwa/vulnerabilities/authbypass/; $valid_token S3cr3tT0k3n . md5($_SERVER[REMOTE_ADDR]); // Token与IP绑定 if ($_SERVER[HTTP_REFERER] ! $expected_referer) { die(Invalid referer.); } if ($_GET[token] ! $valid_token) { die(Invalid token.); } if ($_SESSION[user_level] ! admin) { // 使用了严格比较 die(Insufficient privileges.); } // 显示管理员内容这个代码片段展示了三种防护动态Referer检查它不仅仅检查固定的Referer字符串而是动态拼接了当前主机的地址使得伪造Referer需要精确匹配。Token校验Token不再是固定的而是由秘密字符串“S3cr3tT0k3n”和客户端IP的MD5哈希拼接而成。这意味着Token对于不同IP的用户是不同的。严格的会话检查使用!进行严格比较防止了弱类型比较问题。5.2 分步绕过复合校验链面对这种复合校验我们需要有条理地逐个击破。第一步获取并伪造正确的Referer由于Referer是动态生成的我们需要先知道服务器期望的确切值。一个简单的方法是先正常访问一下Authorisation Bypass的主页面index.php然后从浏览器开发者工具的网络面板中查看任何一个从该页面发出的请求比如加载一个图片的请求的Referer头将其完整复制下来。这个值就是$expected_referer。然后像Medium级别一样使用工具在请求中设置这个Referer头。第二步破解或获取有效的Token这是High级别的核心难点。Token与IP绑定意味着我们需要知道服务器用于生成Token的算法和密钥。在这个模拟例子中算法是S3cr3tT0k3n . md5($_SERVER[REMOTE_ADDR])。分析$_SERVER[REMOTE_ADDR]是服务器的PHP环境变量代表客户端的IP地址。注意这里存在一个关键点在大多数标准部署中REMOTE_ADDR获取的是直接与Web服务器通信的客户端的IP。如果你是通过本地浏览器访问localhost或127.0.0.1那么这个IP就是127.0.0.1。如果你在虚拟机或远程服务器上测试需要知道你的公网IP或虚拟机宿主机的IP。计算我们需要计算我们自己IP地址的MD5值然后前面加上S3cr3tT0k3n。假设我们的客户端IP是127.0.0.1。计算127.0.0.1的MD5哈希。你可以使用在线MD5工具或者在命令行输入echo -n 127.0.0.1 | md5sumLinux/Mac或使用Pythonpython3 -c import hashlib; print(hashlib.md5(127.0.0.1.encode()).hexdigest())。得到的结果通常是f528764d624db129b32c21fbca0cb8d6。拼接TokenS3cr3tT0k3nf528764d624db129b32c21fbca0cb8d6S3cr3tT0k3nf528764d624db129b32c21fbca0cb8d6。构造请求现在我们有了正确的Referer和Token。我们可以构造这样一个URLhttp://localhost/dvwa/vulnerabilities/authbypass/admin_area.php?tokenS3cr3tT0k3nf528764d624db129b32c21fbca0cb8d6。同时在请求头中设置Referer为http://localhost/dvwa/vulnerabilities/authbypass/。第三步处理会话检查在DVWA的High级别Authorisation Bypass中会话检查$_SESSION[user_level] ! admin通常是一个更强的障碍因为我们无法直接修改服务器上的会话变量。但是请注意整个漏洞利用链的逻辑如果前面的Referer和Token检查都通过了代码才会执行到会话检查这一行。而在我们当前的攻击路径中我们是以一个非管理员会话的身份在尝试访问。这里就出现了两种可能性漏洞依然存在如果High级别的代码逻辑是只要Referer和Token对了就不再严格校验会话或者会话校验存在其他逻辑漏洞例如它可能从Token中解析出用户身份那么我们的攻击就可能成功。我们需要实际测试。需要配合其他漏洞如果会话检查是坚不可摧的即必须$_SESSION[user_level]明确等于admin那么单纯的Authorisation Bypass可能无法完成。这时这个挑战可能暗示需要先利用其他漏洞如SQL注入、文件包含导致代码执行来修改我们的会话变量或者直接获取一个管理员会话。但在标准的DVWA Authorisation Bypass挑战中High级别通常设计为可以在本漏洞范围内解决。实际测试使用curl或Python脚本携带伪造的Referer和计算出的Token发起请求。curl -H Referer: http://localhost/dvwa/vulnerabilities/authbypass/ http://localhost/dvwa/vulnerabilities/authbypass/admin_area.php?tokenS3cr3tT0k3nf528764d624db129b32c21fbca0cb8d6观察返回结果。如果返回了敏感信息恭喜你成功绕过了复合校验。如果返回“Insufficient privileges”说明会话检查是有效的你需要重新审视整个流程或者检查Token计算是否正确特别是IP地址是否获取对了。核心技巧在High级别仔细阅读源代码是成功的一半。你必须准确理解每一个检查条件的逻辑和依赖的数据。Token与IP绑定是一个经典设计但它也暴露了一个问题如果攻击者能够确定或预测受害者的IP这通常不难并且知道Token生成算法这可能通过代码泄露、逆向工程或错误信息推断那么Token防护就会失效。这强调了密钥如S3cr3tT0k3n和算法必须保密的重要性。6. Impossible级别解析学习最佳安全实践将安全级别设置为“Impossible”并查看源码。这里展示的通常是被广泛认可的最佳实践旨在从根本上杜绝此类未授权绕过漏洞。6.1 不可绕过级别的防御代码剖析Impossible级别的代码会非常简洁和坚固核心思想包括统一的、强制的入口点检查所有需要权限的敏感操作不依赖前端链接或按钮而是必须在服务器端控制器或路由层面进行强制校验。例如在应用的入口文件或核心路由分发器中就对当前请求的URL和用户权限进行匹配。基于角色的访问控制RBAC与会话强绑定权限状态完全存储在服务器端的会话中并且与每次请求进行校验。校验逻辑不依赖于任何客户端可修改的参数如GET/POST参数、HTTP头。通常会在页面加载初期就通过一个统一的认证中间件Middleware或包含文件include check_auth.php来验证$_SESSION[authenticated]和$_SESSION[user_role]。绝对不信任客户端输入任何用于权限判断的信息都不应从客户端获取。Referer、Token用于防CSRF而非权限校验、自定义HTTP头等均不能作为权限判定的依据。安全的会话管理使用安全的会话配置如HttpOnly、Secure Cookie防止会话劫持和固定攻击。查看Impossible级别的源码你可能会看到类似这样的结构// Impossible级别示例代码模拟 // 文件admin_area.php session_start(); // 引入统一的权限检查文件 require_once ../../includes/auth_check.php; // auth_check.php 的内容 function checkAdminPermission() { if (!isset($_SESSION[user_id])) { header(Location: /dvwa/login.php); exit; } if ($_SESSION[user_role] ! admin) { // 严格比较 header(HTTP/1.1 403 Forbidden); die(You do not have permission to access this resource.); } } checkAdminPermission(); // 只有管理员才能执行以下的代码 echo Critical admin information: ...;在这段代码中admin_area.php自身不处理任何权限逻辑而是委托给一个集中、统一的auth_check.php文件。这个检查函数验证两点1. 用户是否登录会话是否存在2. 登录用户的角色是否是“admin”。任何不满足条件的请求都会被重定向到登录页或返回403错误。攻击者无法通过直接访问该URL、修改参数或伪造请求头来绕过因为权限判断的唯一依据是服务器端存储的、与当前会话绑定的$_SESSION[user_role]。6.2 从防御角度总结安全编码要点通过对比四个级别的代码我们可以提炼出防止未授权绕过的核心原则最小权限原则每个用户、每个进程、每个程序只拥有完成其任务所必需的最小权限。服务端强制控制访问控制决策必须在服务器端执行并且要在每个需要保护的资源入口点执行。不能依赖客户端脚本、隐藏字段或“安全”的URL结构。默认拒绝除非明确允许否则默认拒绝所有访问。白名单策略通常比黑名单更安全。避免依赖不可信数据绝不使用HTTP Referer、User-Agent、客户端IP或任何来自用户的可修改数据作为权限判断的唯一或主要依据。这些信息只能用于辅助记录或非常弱的二次验证。使用成熟的框架和库现代Web开发框架如Laravel的Middleware、Spring Security的Filter都提供了强大且经过审计的权限控制组件。直接使用它们比自己从头实现要安全得多。定期审计与渗透测试对权限相关的代码进行重点代码审查并定期进行渗透测试模拟攻击者尝试越权操作。7. 漏洞挖掘与实战拓展思考通关DVWA的四个级别我们掌握了针对简单权限绕过漏洞的几种攻击方法。但在真实世界中漏洞的形态会更加隐蔽和复杂。这里分享一些我在实战和CTF比赛中遇到的拓展思路。7.1 常见未授权绕过场景与变种平行越权Insecure Direct Object References, IDOR这本质上也属于权限绕过。例如用户A和用户B都有权访问/api/user/{id}/profile接口来查看自己的资料。如果后端没有检查{id}参数是否属于当前登录用户那么用户A将{id}改为B的ID就能看到B的资料。防御方法是在每次数据访问时都校验“当前请求的用户”是否有权访问“目标ID”的数据。功能级权限缺失应用可能检查了用户是否能进入“管理后台”但对后台内的每一个具体功能如“删除用户”、“修改配置”没有做细粒度校验。攻击者进入后台后可以通过直接调用功能接口如/admin/delete_user.php?uid123来执行未授权操作。这要求权限校验必须覆盖每一个功能端点。静态资源绕过管理员后台的页面如.php有权限检查但后台页面引用的静态资源如.js,.css, 图片文件可能存放在一个可公开访问的目录。如果这些静态资源包含了敏感信息如API密钥、内部数据结构就会造成信息泄露。应对方法是使用Web服务器如Nginx配置对存放敏感资源的目录进行访问控制。API接口未授权在现代前后端分离应用中前端通过API与后端交互。开发者可能在前端路由层面做了权限隐藏如不显示管理员按钮但忘记在后端对应的API接口如/api/admin/users上添加权限校验。攻击者直接调用该API即可获取数据。API必须独立进行权限校验。配置错误导致的目录遍历与文件包含这可能导致攻击者直接访问到本应受保护的源码文件如config.php从中发现硬编码的密钥、数据库密码甚至通过文件包含执行任意代码从而彻底绕过应用层的所有权限检查。7.2 自动化工具辅助与手动测试结合对于大规模的资产我们可以使用工具进行初筛但绝不能完全依赖工具。自动化扫描工具如Burp Suite的Scanner、OWASP ZAP、Nuclei等可以配置规则来检测常见的未授权访问端点。例如它们会尝试访问诸如/admin,/backup,/phpinfo.php,/config.json等常见敏感路径和文件。这些工具能快速发现“低垂的果实”。手动测试的精髓自动化工具无法理解业务逻辑。手动测试的核心在于理解业务流画出应用的功能流程图和权限矩阵。搞清楚普通用户、VIP用户、管理员各自能做什么。测试每一个端点对每一个API接口、每一个页面都尝试用不同权限的账户去访问观察响应差异。特别关注那些通过参数如id,type,action来区分功能的接口。篡改和重放请求使用Burp Suite的Repeater模块捕获一个低权限用户的正常请求然后尝试修改Cookie、Token、参数重放给高权限功能的接口。寻找隐藏参数和接口通过分析前端JS代码、网络请求或者使用目录爆破工具如dirsearch, gobuster寻找未在页面上显示的隐藏接口。7.3 从攻击者视角构建防御心智最好的防御是理解攻击。通过这次DVWA通关我们应该建立起以下防御心智永远不要相信客户端这是Web安全的金科玉律。所有关于用户身份和权限的判断都必须基于服务器端可信的数据源如数据库中的用户角色表、经过签名的会话信息。实施统一的访问控制层不要在每一个业务逻辑文件的开头都写一遍权限检查代码。应该设计一个统一的中间件、过滤器或基础控制器所有受保护的请求都必须先经过它。这样既避免了遗漏也便于维护和升级。进行彻底的测试不仅要用管理员账号测试更要用普通用户、未登录用户去尝试访问所有管理员功能。自动化测试脚本可以很好地覆盖这部分场景。记录和监控对所有敏感操作的访问进行日志记录并设置告警。例如同一个用户会话在短时间内尝试访问大量未授权端点可能就是在进行自动化扫描或手动探测应及时告警。通关DVWA的Authorisation Bypass只是一个开始。它像一把钥匙为你打开了Web应用权限安全这扇大门。真正的战场在复杂多变的业务逻辑和庞大的代码库中。保持好奇持续练习时刻以攻击者的思维审视自己编写的代码你构建的系统才会更加稳固。