web基础漏洞-越权
1、介绍
越权,分为水平越权和垂直越权。
水平越权: 登录后,操作其它用户的资源或访问其它用户非公开的数据
垂直越权: 未登录时,操作或访问某用户需要登录的资源;登录后,操作或访问需要更高权限的资源,比如管理员
2、测试
(1)越权并不区分token,还是cookie。
(2)水平越权测试
当前登录凭证,操作其它用户的所属资源。如果操作成功,则存在水平越权漏洞
(3)垂直越权的测试
一般,很难进行权限等级测试,而只能测试有无登录凭证
篡改登录凭证,或者删除登录凭证,进行请求
如果响应表示操作成功,则存在垂直越权漏洞。
需要注意的是,删除操作 ,一般只能进行一次
3、防护
对敏感资源,严格检查:
- 是否登录
- 登录身份与敏感资源的所属身份是否匹配
- 登录身份与敏感资源的所需权限是否匹配
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战