"1 什么是横向越权? 攻击者尝试访问与他拥有相同权限的用户的资源。 2 横向越权场景 删除非当前用户下用户信息。 3 漏洞实现 普通用户登录,当前只能看到自己权限下的用户信息是看不到其他用户信息,如图。 [图片] 拦截删除用户请求,如图 [ ...."
攻击者尝试访问与他拥有相同权限的用户的资源。
删除非当前用户下用户信息。
普通用户登录,当前只能看到自己权限下的用户信息是看不到其他用户信息,如图。
拦截删除用户请求,如图
修改用户 id 删除,如图
这里可以看到非当前用户下的用户信息被删除成功
增加用户与资源信息的绑定关系,操作资源时判断绑定关系。
回帖内容已被屏蔽。
回帖内容已被屏蔽。