越权漏洞是什么?平行越权和垂直越权的区别在哪里?

请先 登录 后评论

2 个回答

kikihkm

越权漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。

水平越权:就是攻击者尝试访问与他相同权限的用户的一些资源。例如,用户A在查看个人信息的地方相关参数改变,导致可以查看到了用户B的个人信息。

垂直越权:也叫权限提升攻击,就是低权限用户获取了高权限用户(管理员)的信息。例如,用户A通过构造URL直接进入了管理员B的页面。

请先 登录 后评论
软咩咩~

越权漏洞是在授权逻辑上存在缺陷而导致的问题,用户能够访问在设计上不应该被访问的资源,导致能够做错超预期的操作行为

平行越权:A、B两个用户是具有相同的权限等级的用户,若用户A能够访问B用户的私有数据,就产生了水平越权

垂直越权:A用户的账户权限高于B用户,用户B越权操作了用户A所拥有的权限,则是垂直越权

请先 登录 后评论