浅谈越权

发布于 2021-06-15  52 次阅读


0x01 简介

越权漏洞是我们测试过程中遇到比较多的漏洞,经常出现在后台用户修改密码、修改信息、删除用户这些地方。我们可以这样来理解越权漏洞,一个用户A一般只能够对自己本身的信息进行增删改查,然而由于开发人员的疏忽,没有在信息进行增删改查时候进行用户判断,从而导致用户A可以对其他用户进行增删改查等等操作。

0x02 例子

修改test用户密码时,抓包找到用户id。通过修改用户id修改admin用户密码,实现越权。test用户id可以看到是admin_id=2,那么猜admin用户的id应该是1。通过修改用户id成功修改admin用户密码,使用admin成功登录后台。


一切都是兴趣使然