摘要: 概述: 由于没有对用户权限进行严格的判断 导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超管)范围内的操作 分为水平越权和垂直越权: 水平越权:A用户和B用户属于同一级别用户,但各自不能操作对方个人信息。A用户如果越权操作B用户个人信息的情况称为水行越权操作。 垂直越权:A用户权限高于B 阅读全文
posted @ 2020-03-23 20:02 戚源 阅读(548) 评论(0) 推荐(0) 编辑
摘要: 不安全的文件下载 概述: 文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,将其直接拼 阅读全文
posted @ 2020-03-23 16:42 戚源 阅读(566) 评论(0) 推荐(0) 编辑