1、概念简介
越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患之一。
越权访问漏洞主要分为水平越权、垂直越权。
2、测试方法
a、水平越权
测试技巧:
1、抓包获取接口名称
2、修改接口参数,常用的方法如
/user/detail/idA -> /user/detail/idB
/user/detail?name=A -> /user/detail?name=B
b、水平越权
测试技巧:
1、抓包获取所有接口名称,一般可以通过swagger或者按照接口风格尝试攻击一些高危接口
2、接口攻击C才有的功能,如
/user/modifyPassword/idB
/user/modify/idC ...
https://mp.weixin.qq.com/s/4FO_cLkSb05HGtZrcfD_dQ
