越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。
该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不充分,就易致越权漏洞。
摘录自网站:http://www.mchz.com.cn/cn/service/safety-lab/info_26_itemid_3129.html
一、漏洞分类
1,水平越权:用户间拥有相同的权限,但是每个用户所持有的数据不同。水平越权后,用户A可以对用户B的数据进行增删改查~