三十三：WEB漏洞-逻辑越权之水平垂直越权

水平和垂直越权

水平越权：能够得到同级别用户权限
垂直权限：享受高几个层次的用户权限
解释，原理，检测，利用，防护
经过更换的某个ID之类的身份标识，从而使得A帐号获取（修改，删除）B帐号的数据，经过低权限身份的帐号，发送高权限才能有的请求，得到其高权限的操做。
经过删除请求中的认证信息后重放该请求，依旧能够访问或者完成操做。

原理

前端安全形成：界面
后端安全形成：数据库

修复防护方案

先后端同时对用户输入信息进行校验，双重验证机制
调用功能前验证用户是否有权限调用相关功能
执行关键操做验证用户身份，验证是否有操做数据的权限
直接对象引用的资源ID，防止攻击者枚举ID，敏感数据特殊化处理
对可控参数进行严格的检查和过滤

演示

pikachu-本地水平垂直越权演示
墨者水平-身份验证失效漏洞实战
越权检测-小米范越权漏洞检测工具
越权检测-Burpsuite插件Authz安装测试