三十三：WEB漏洞-邏輯越權之水平垂直越權

水平和垂直越權

水平越權：能夠得到同級別用戶權限
垂直權限：享受高几個層次的用戶權限
解釋，原理，檢測，利用，防護
經過更換的某個ID之類的身份標識，從而使得A帳號獲取（修改，刪除）B帳號的數據，經過低權限身份的帳號，發送高權限纔能有的請求，得到其高權限的操做。
經過刪除請求中的認證信息後重放該請求，依舊能夠訪問或者完成操做。

原理

前端安全形成：界面
後端安全形成：數據庫

修復防護方案

先後端同時對用戶輸入信息進行校驗，雙重驗證機制
調用功能前驗證用戶是否有權限調用相關功能
執行關鍵操做驗證用戶身份，驗證是否有操做數據的權限
直接對象引用的資源ID，防止攻擊者枚舉ID，敏感數據特殊化處理
對可控參數進行嚴格的檢查和過濾

演示

pikachu-本地水平垂直越權演示
墨者水平-身份驗證失效漏洞實戰
越權檢測-小米範越權漏洞檢測工具
越權檢測-Burpsuite插件Authz安裝測試