同级的用户之间,不能互相修改对方数据,比如淘宝用户之间,如果用A的权限修改了B的信息这叫平行越权。
普通的淘宝用户如果去修改了淘宝管理员的信息,以下改上这叫垂直越权
水平越权漏洞演示:很简单,也就是改了URL里GET传参的数值而已,意义不大
垂直越权漏洞演示:
这个运用有些鸡肋了,需要先用超级管理员实行一些修改删除的操作,获得这个数据包,然后再登录普通用户,拿到普通用户的 COOKIE,然后就是管理员的数据包换上普通用户的COOKIE
同级的用户之间,不能互相修改对方数据,比如淘宝用户之间,如果用A的权限修改了B的信息这叫平行越权。
普通的淘宝用户如果去修改了淘宝管理员的信息,以下改上这叫垂直越权
水平越权漏洞演示:很简单,也就是改了URL里GET传参的数值而已,意义不大
垂直越权漏洞演示:
这个运用有些鸡肋了,需要先用超级管理员实行一些修改删除的操作,获得这个数据包,然后再登录普通用户,拿到普通用户的 COOKIE,然后就是管理员的数据包换上普通用户的COOKIE