前言
水平越权: 假设用户A和用户B属于拥有相同的权限等级,他们能获取自己的个人数据,但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据,那么用户A访问用户B的这种行为就叫做水平越权访问。
垂直越权:A用户权限高于B用户,B用户越权操作A用户的权限的情况称为垂直越权
一、水平越权
A用户和B用户属于同一级别用户,但各自不能操作对方个人信息。A用户如果越权操作B用户个人信息的情况称为水行越权操作
进入一个账户里面,然后开启抓包
在抓包器里把抓到的包发送到重发器里
修改用户名重发就可以看到它看到别的用户的信息
还有种方式,不用通过抓包,不退出lucy账号 直接在地址栏中将username改成lili也可以直接访问lili的信息
二、垂直越权
A用户权限高于B用户,B用户越权操作A用户的权限的情况称为垂直越权
登录admin账号,发现可以添加和删除账号
用admin用户添加一个新用户 并用burp进行抓包
用普通用户登录进去,可以看到普通用户只有查看的权力
把刚刚抓的admin的包的url部分放到pikachu的url里面,然后发现pakachu用户有了添加用户的权力!