WEB漏洞 逻辑越权之支付数据篡改安全
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
水平越权是攻击者尝试访问与其权限相同的用户资源,垂直越权是低权限用户访问高权限用户功能。文章介绍了测试方法和案例,并提供了具体步骤和示例。
🎯
关键要点
- 水平越权是攻击者尝试访问与其权限相同的用户资源。
- 垂直越权是低权限用户访问高权限用户功能。
- 测试水平越权的方法是通过A用户操作影响B用户。
- 案例演示了如何通过burp抓包实现水平越权。
- 垂直越权测试方法是检查低权限用户是否能使用高权限用户的功能。
- 管理员可以查看、添加、删除用户,而普通用户只有查看权限。
- 通过替换PHPSESSID值,普通用户可以成功添加用户,存在垂直越权。
- 身份认证失效漏洞的案例中,通过抓包获取用户信息。
- 可以通过遍历用户的card_id值来获取账户信息。
➡️
