02 2023 档案
逻辑越权之登陆脆弱及支付篡改
摘要:登陆应用功能点安全问题(只要是登陆的地方都可以进行检测)1.登陆点暴力破解2.HTTP/HTTPS传输3.Cookie脆弱点验证4.Session固定点测试5.验证密文比对安全测试 http登陆密码传输一般为明文传输,https登陆密码是密文传输。http登陆可以使用暴力破解进行尝试登陆 cooki
逻辑越权之水平垂直越权
摘要:越权:水平越权,垂直越权水平越权:可以跨越同级别用户垂直越权:跨越不同级别的用户水平:通过更换某个ID之类的身份标识,从而使A账号获取(修改、删除等)B账号数据垂直:使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作未授权访问:任何人都可以进行操作 漏洞检测:通过burp抓包,看到
