OWASP TOP10 漏洞解析:访问控制崩溃

本贴最后更新于 184 天前,其中的信息可能已经时移世异

一、定义

访问控制崩溃,指的是访问控制策略没有被正确地执行,导致用户可以在他们的预期权限之外进行操作。这种缺陷通常会导致未授权的信息被泄露、修改、销毁,或者让用户执行了超出其权限限制的业务功能。

表现形式,也就是我们常说的越权漏洞

越权分为:


二、方法技巧

先了解Web应用程序的访问控制策略,包括用户角色、权限分配、认证和授权机制等。识别哪些资源(如页面、API、数据等)需要受到访问控制保护。并对不同角色和权限的用户进行测试,验证访问控制逻辑是否正确执行。


三、 靶场实操

3. 1 水平越权--皮卡丘靶场

以lucy、lili2个账号为例,来演示水平越权。

图片.png

图片.png


3. 2 垂直越权--皮卡丘靶场

超级管理员用户:admin ;普通管理员用户:pikachu 。以这2个账号为例,进行垂直越权演示。

图片.png

图片.png

图片.png

图片.png

图片.png

图片.png


四、如何防范

  • 安全
    52 引用 • 44 回帖 • 2 关注
1 操作
potato 在 2024-06-19 17:37:43 更新了该帖
回帖
请输入回帖内容 ...