水平越权安全漏洞
描述:
攻击者通过利用水平越权漏洞,越权访问未被授权的项目信息。严重危害以信息作为基础的互联网应用程序。
修复建议:
在应用程序设计时,缺乏严格的授权验证,导致未获得访问授权的用户可以获得重要的信息资源。针对这一类型的漏洞通常的修复方法是加强权限验证。
例:
用户a和用户b角色相同,他们都能访问自己的私有数据。
但是如果系统只验证了访问数据的角色,不对数据进行细分也校验。造成用户a可以访问用户b的数据。
水平越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞。由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞。
垂直越权安全漏洞
系统只对菜单、按钮做了权限控制。 这样如果请求可以模拟参数,例如用户id,就可以访问其他用户的数据。
垂直越权是一种“基于URL的访问控制”设计缺陷引起的漏洞,又叫做权限提升攻击。