#+ 越权访问
越权访问
温柔小薛
车联网安全
展开
-
越权访问之——越权漏洞突破思路
越权漏洞突破思路 1.一般管理页面可能存在越权漏洞 如果是白盒测试的话 找到admin相关 需要管理员账号才可以访问的文件 针对于前端绕过 访问该目录,可能会有一个js拦截,我们利用浏览器隐私安全性设置找到javascrip禁用 添加网站,再次进入可能会成功 针对于后端绕过 对于没有判断登录状态refer或者判断不标准,抓包修改为合法的refer就可以绕过 2.有的对于用户管理的地方可能有,例如更...原创 2020-04-20 23:56:44 · 1807 阅读 · 0 评论 -
越权访问之——越权原理与实战
越权原理介绍与实战 我小薛复活辣 哎呀好些天没更新,光顾着把结课作业整完了,两天没学,心里就刺挠哈哈哈,眼瞅着日子一天天过,认识的小伙伴跑得飞快,也是着急上火。 今儿学的是越权,难易程度比较简单,没有太多花里胡哨的,就是有些费时费力。 原理概述 如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。 越权漏洞形成的原因是后台使用了不合理的权限校验规则导...原创 2020-04-20 22:49:33 · 1735 阅读 · 0 评论