二七网建站,关于做网站的合同,海口建设企业网站,北京网站建设制作公司一、越权测试是什么#xff1f;
越权漏洞是web应用程序中常见的一种安全漏洞。它的威胁在于一个账户可控制全站用户数据。越权漏洞产生的原因主要是因为开发人员在对数据进行增删改查时对客户端的请求数据过分相信而遗漏了权限的判定。
二、越权漏洞的分类
越权分为2种
越权漏洞是web应用程序中常见的一种安全漏洞。它的威胁在于一个账户可控制全站用户数据。越权漏洞产生的原因主要是因为开发人员在对数据进行增删改查时对客户端的请求数据过分相信而遗漏了权限的判定。
二、越权漏洞的分类
越权分为2种水平越权和垂直越权
水平越权由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞例如2个不同的公司A和B通过修改请求公司A可以任意修改B公司的信息
垂直越权由于后台应用没有做权限控制或仅仅在菜单、按钮上做了权限控制导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息就可以访问或控制其他角色拥有的数据或页面达到权限提升的目的例如通一个公司不同权限的管理员A和B通过修改请求管理员A可以修改不在他管辖范围内的信息
三、越权的测试方式
1、用户登录后进入页面变更页面链接中的参数为无权限查看的相关参数值查看是否能成功查看新页面
2、有权限用户在前端页面抓取接口和相关参数本地通过postman等工具传入普通用户的cookie个接口参数调用后看是否可成功调用该接口
