越权:水平越权,垂直越权
水平越权:可以跨越同级别用户
垂直越权:跨越不同级别的用户
水平:通过更换某个ID之类的身份标识,从而使A账号获取(修改、删除等)B账号数据
垂直:使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作
未授权访问:任何人都可以进行操作
漏洞检测:通过burp抓包,看到如果有username或者其他类似的变量,那么就有可能存在水平越权漏洞
不同用户,一个可以进行对数据的操作,其他的不行,可能存在垂直越权漏洞(添加用户:前提条件:获取的添加用户的数据包
数据包怎么来:普通用户前端有操作界面可以抓取数据包
通过网站源码本地搭建自己去模拟抓取
盲猜
如果在访问网站数据包中有传输用户的编号、用户组编号或类型编号的时候,那么尝试对这个值进行修改,就是测试越权漏洞的基本
工具:小米范
插件:burp authz插件
修复防御方案:
前后端同时对用户输入信息进行校验,双重验证机制
调用功能前验证用户是否有权限调用相关功能
执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限
直接对象引用的加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理
永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤