1、介绍
越权,分为水平越权和垂直越权。
水平越权: 登录后,操作其它用户的资源或访问其它用户非公开的数据
垂直越权: 未登录时,操作或访问某用户需要登录的资源;登录后,操作或访问需要更高权限的资源,比如管理员
2、测试
(1)越权并不区分token,还是cookie。
(2)水平越权测试
当前登录凭证,操作其它用户的所属资源。如果操作成功,则存在水平越权漏洞
(3)垂直越权的测试
一般,很难进行权限等级测试,而只能测试有无登录凭证
篡改登录凭证,或者删除登录凭证,进行请求
如果响应表示操作成功,则存在垂直越权漏洞。
需要注意的是,删除操作 ,一般只能进行一次
3、防护
对敏感资源,严格检查:
- 是否登录
- 登录身份与敏感资源的所属身份是否匹配
- 登录身份与敏感资源的所需权限是否匹配