失效的访问控制
文章平均质量分 83
未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数
据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。
仙女象
web安全爱好者
展开
-
WebGoat (A5) Broken Access Control -- Missing Function Level Access Control (缺少功能级访问控制)
目录一、一起来玩躲猫猫ヾ(•ω•`)o第2页第3页1、简单思路2、复杂思路二、简陋的脑图一、一起来玩躲猫猫ヾ(•ω•`)o第2页要求找到两个藏起来的菜单项、我用的是chrome浏览器,鼠标放到菜单上,比如Account那一条那儿,右键--检查,就会弹出开发者工具,附近的元素展开来找一找,发现了一个隐藏的Admin大选项下面有两个带url的隐藏的小选项:Users和Config。把Users和Config分别填到两个输入框中并提交,即可通关。第3页这原创 2021-03-17 22:40:52 · 2057 阅读 · 2 评论 -
WebGoat (A5) Broken Access Control -- Insecure Direct Object References (不安全的直接对象引用)
第2页这一页只需要以用户名tom,密码cat登录,以便后续操作。第3页这题要求找出response报文中未显示在网页上的属性。只要按下View Profile之后对比网页显示的内容和burpsuite抓到的response报文就行第4页这一页要求用直接对象引用的方式来查看自己的profile。从上一轮的burpsuite抓包可知,profile的路径是/WebGoat/IDOR/profile,而userId为2342384试了WebGoat/IDOR/profi原创 2021-03-16 22:54:51 · 2178 阅读 · 2 评论 -
pikachu Over permission 越权(皮卡丘漏洞平台通关系列)
这关也挺简单1、水平越权也称为横向越权,指相同权限下不同的用户可以互相访问,比如A和B是同权限的用户,如果A能看到理论上只有B能看到的信息,或者A能执行理论上只有B能执行的操作,那就是水平越权啦。进入pikachu的水平越权关卡,一开始要求登录越权总要先用一个用户登录成功吧,点一下提示,这关有三个同级别的用户,账号密码分别是lucy/123456,lili/123456,kobe/123456先用lucy登录,发现有个可以点击查看个人信息的地方点一下,回显了lucy的个人原创 2021-01-31 21:35:26 · 2780 阅读 · 3 评论