2023年Web基础越权漏洞案例分析与测试方法.pptxVIP

越权漏洞讲师：云山隐雾·安全

什么是越权越权测试过程常见越权漏洞靶场演示目录

1、什么是越权越权漏洞的概念 越权漏洞是一种很常见的逻辑安全漏洞。是由于服务器端对客户提出的数据操作请求过分信任，忽略了对该用户操作权限的判定，导致修改相关参数就可以拥有了其他账户的增、删、查、改功能，从而导致越权漏洞。目前存在着两种越权操作类型：横向越权操作（水平越权）和纵向越权（垂直越权）操作。越权一般分为水平越权和垂直越权。水平越权是指相同权限下不同的用户可以互相访问垂直越权是指使用权限低的用户可以访问到权限较高的用户水平越权测试方法主要就是看看能否通过A用户操作影响到B用户垂直越权的测试思路就是低权限用户越权使用高权限用户的功能，比如普通用户可使用管理员功能。

什么是越权越权测试过程常见越权漏洞靶场演示目录

2、越权漏洞测试过程

3、越权漏洞测试过程越权测试登录A用户是，正常更改或者是查看A用户信息，然后抓取数据包，将传参ID修改为其他用户，如果成功查看或者修改了同权限其他用户的信息就属于水平越权测试。（如果可以影响到高权限用户就是垂直越权）

4、越权漏洞测试过程传参ID参数需要自己检测（常见：uid=id=user=等）通常使用burp进行爆破传参（传参可能在GETPOSTCOOKIE）常见平行越权（不需要输入原密码的修改密码，抓包改用户名或者用户id修改他人密码修改资料的时候修改用