一、什么是水平越权
其实水平越权实现的条件特别苛刻,也算是最鸡肋的一个越权漏洞,它这个越权其实分为水平越权和垂直越权,水平越权就是你是A用户,但是你可以通过修改数据包,无需登录可以看到其他B用户的信息。
二、越权触发
我们打开Burp Suite,用内置的浏览器访问一个存在越权漏洞的登录页面,
我们打开工具里面的拦截数据包,再以普通用户登录进去
此时我们已经拦截了数据包,需要将我们并将GET数据中的用户名改为你想越权的用户名
将lucy的用户名,改为越权目标用户lili,并点击forward放行数据包
此时我们可以看到我们无需登录,就可以水平越权登录lili的账户
© 版权声明
分享是一种美德,转载请保留原链接
发现8条评论
-1″ OR 5*5=25 —
555
I am really enjoying the theme/design of your weblog.
Do you ever run into any browser compatibility problems?
A handful of my blog visitors have complained about my site not operating correctly in Explorer but looks
great in Firefox. Do you have any tips to help fix this problem?
https://desktop.buged.cn/home/api/carousel/banner.php
https://www.pallher.com/zh/?v=ceIO2GJmu5L&c=asian
xmmdikyxiqhsdyktxnqfqwvrduxspv
rxfuuhvlmtusqwehzdekqzwtfuulwq
fivjyhonpwykzvhylutjskxikqpnwt