越权访问,即Broken Access Control,是Web应用的安全隐患之一,被OWASP列为十大风险之二。当应用的权限检查不足时,攻击者可能通过低权限账户访问其他用户或更高权限的数据。本文介绍了越权漏洞的类型——水平越权和垂直越权,以及如何通过抓包和修改参数来检测漏洞。预防措施包括前后端双重验证、操作前验证用户权限和保护用户认证信息。
越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。
该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不充分,就易致越权漏洞。
摘录自网站:http://www.mchz.com.cn/cn/service/safety-lab/info_26_itemid_3129.html
一、漏洞分类
1,水平越权:用户间拥有相同的权限,但是每个用户所持有的数据不同。水平越权后,用户A可以对用户B的数据进行增删改查~
2,垂直越权:用户间拥有的权限不同。垂直越权后,使普通用户权限提升,造成比水平越权更严重的后果
最低0.47元/天 解锁文章
1449
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
