目录
越权
- 越权漏洞又分为平行越权,垂直越权和交叉越权。平行越权:权限类型不变,权限 ID 改变垂直越权:权限 ID 不变,权限类型改变交叉越权:即改变 ID ,也改变权限
1. 平行权限跨越
水平越权指的是攻击者尝试访问与他拥有相同权限的用户的资源,怎么理解呢?
- 比如某系统中有个人资料这个功能, A 账号和 B 账号都可以访问这个功能,但是 A 账号的个人信息和 B 账号的个人信息不同
可以理解为 A 账号和 B 账号个人资料这个功能上具备水平权限的划分。此时, A 账号通过攻击手段访问了 B 账号的个人资料,这就是水平越权漏洞。
系统中所有具备水平权限划分的功能,都存在水平越权的风险,以下是常出现的水平越权的功能的几种