1.定义
越权漏洞属于代码逻辑漏洞。分为平行越权、垂直越权以及交叉越权三种。水平越权是指相同权限下不同的用户可以互相访问。垂直越权是指使用权限低的用户可以访问到权限较高的用户。
2.越权测试:
水平越权测试方法主要就是看看能否通过A用户操作影响到B用户。
垂直越权的测试思路就是低权限用户越权使用高权限用户的功能,比如普通用户可使用管理员功能。
3.常见操作
登录用户A,更改或者查看A用户信息,然后抓取数据包,修改其中的可疑参数,使之查询或者修改其他用户。如果影响同级别的就是水平越权,否则就是垂直越权。
这里用户信息可能的传输方式有:GET/POST/Cookie三种。