首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

漏洞分享之-越权

本文介绍了OWASP TOP10的漏洞类型之一----越权漏洞。

内容包括:越权简介、访问控制类型、越权漏洞类型以及对应的案例。希望对大家有帮助。

名词定义:定义了在越权漏洞中我们需要了解的一些专业名词。

概述:介绍了漏洞定义、产生原因以及漏洞分类。

常见的三种访问控制类型:基于URL的访问控制、基于数据的访问控制以及基于角色的访问控制。

越权访问发生在存在增、删、改、查的页面。

水平越权:也可称为基于数据的访问控制问题。问题主要在于访问仅验证了数据的id,未验证用户是否有权限访问。

垂直越权:也称为基于角色的访问控制问题。简单说,系统未对用户是否有权限访问此条数据进行判断。

垂直越权的案例:低权限用户可越权查询高权限用户的数据。

参考链接:

讲讲越权那些事:https://www.secpulse.com/archives/4159.html

Web安全测试中常见逻辑漏洞解析(实战篇):http://www.freebuf.com/vuls/112339.html

WEB安全系列之《如何挖掘越权漏洞》:https://www.jianshu.com/p/5720f5137529

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180321G0QJSY00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券