水平和垂直越權
水平越權:可以獲得同級別使用者許可權
垂直許可權:享受高几個層次的使用者許可權
解釋,原理,檢測,利用,防禦
通過更換的某個ID之類的身份標識,從而使得A賬號獲取(修改,刪除)B賬號的資料,通過低許可權身份的賬號,傳送高許可權才能有的請求,獲得其高許可權的操作。
通過刪除請求中的認證資訊後重放該請求,依舊可以訪問或者完成操作。
原理
前端安全造成:介面
後端安全造成:資料庫
修復防禦方案
前後端同時對使用者輸入資訊進行校驗,雙重驗證機制
呼叫功能前驗證使用者是否有許可權呼叫相關功能
執行關鍵操作驗證使用者身份,驗證是否有運算元據的許可權
直接物件引用的資源ID,防止攻擊者列舉ID,敏感資料特殊化處理
對可控引數進行嚴格的檢查和過濾
演示
pikachu-本地水平垂直越權演示
墨者水平-身份驗證失效漏洞實戰
越權檢測-小米範越權漏洞檢測工具
越權檢測-Burpsuite外掛Authz安裝測試