1. 什么是纵向越权、横向越权?
越权测试针对后台接口,分3类:未登录授权、横向越权(又叫水平越权)、纵向越权。
未登录授权:没有登录或者登录失效了,可以通过后台url或失效token直接访问系统数据。
横向越权(或水平越权):攻击者可以访问相同权限的其他用户资源。如,用户a登录了,但可以通过后台url访问用户b的数据。
纵向越权(或垂直越权):分向上(低权限可以操作高权限)和向下越权(高权限可以操作低权限)。如,普通用户登录了,后台没做权限控制,可以通过后台url访问管理员的数据。
1. 什么是纵向越权、横向越权?
越权测试针对后台接口,分3类:未登录授权、横向越权(又叫水平越权)、纵向越权。
未登录授权:没有登录或者登录失效了,可以通过后台url或失效token直接访问系统数据。
横向越权(或水平越权):攻击者可以访问相同权限的其他用户资源。如,用户a登录了,但可以通过后台url访问用户b的数据。
纵向越权(或垂直越权):分向上(低权限可以操作高权限)和向下越权(高权限可以操作低权限)。如,普通用户登录了,后台没做权限控制,可以通过后台url访问管理员的数据。