网络安全+业务逻辑漏洞介绍
需积分: 5 79 浏览量
2023-09-26
14:15:24
上传
评论
收藏 2.1MB DOCX 举报
一、越权漏洞
1.1、什么是越权漏洞
越权漏洞的概念:
越权漏洞是一种很常见的逻辑安全漏洞,是由于服务器端对客户提出的数据操作请求过
分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、
删、查、改功能,从而导致越权漏洞。
目前存在着两种越权操作类型:横向越权操作(水平越权)和纵向越权(垂直越权)操
作。
越权一般分为水平越权和垂直越权。
水平越权是指相同权限下不同的用户可以互相访问,例如:我查看自己的个人主页,但
是我将自己的用户名改成其他普通用户的用户名,当我再次请求时,发现个人主页已经变成
其他用户的个人主页了。
垂直越权是指使用权限低的用户可以访问到权限较高的用户。
水平越权测试方法主要就是看看能否通过 A 用户操作影响到 B 用户。
垂直越权的测试思路就是低权限用户越权使用高权限用户的功能,比如普通用户可使用管理
员功能。
1.2 常见越权漏洞-案例分享
1.通过修改 GET 传参来越权
http://cn-sec.com/archives/2572.html
https://dvpnet.io/info/detail/id/435
http://cn-sec.com/archives/2861.html
⒉.修改 POST 传参进行越权( http://cn-sec.com/archives/1682.html)
3. 修改 cookie 传参进行越权( http://cn-sec.com/archives/6421.html)
抓取传参可以在浏览器、APP、应用程序( exe)
http://cn-sec.com/archives/5930.html
1.3 越权测试流程
把握住传参就能把握住逻辑漏洞的命脉
资源评论
