@信仰
1年前 提问
1个回答

越权漏洞都有哪些分类

GQQQy
1年前

越权漏洞都有以下这三种分类:

  • 平行越权漏洞:权限类型不变,权限ID改变,如同是普通用户,其中一个用户可查看其它用户信息。常见的就是通过修改某一个ID参数来查看其他用户的信息,比如你查看自己的信息时,发现URL连接中,或者http请求头中有一个userID的参数,然后你修改这个参数就可以查看那个人信息了!

  • 垂直越权漏洞:权限ID不变,权限类型改变,如普通用户可使用管理员权限进行操作。如你登录时,发现cookie中有一个roleID的角色参数,那么可以通过修改该ID为1或者0,根据具体情况来定,就可以使用管理员权限了!

  • 交叉越权漏洞:权限类型改变,权限ID也改变;交叉越权是垂直越权和水平越权的交集。