标签：10 https 账号 admin 用户 2022 com 越权

小迪

https://www.bilibili.com/video/BV1JZ4y1c7ro?p=32

水平：通过更换的某个 ID 之类的身份标识，从而使 A 账号获取（修改、删除等）B 账号数据。
垂直：使用低权限身份的账号，发送高权限账号才能有的请求，获得其高权限的操作。
未授权访问： 通过删除请求中的认证信息后重放该请求，依旧可以访问或者完成操作。

案例1-pikachu-水平越权

配置代理，点击查看个人信息。

burp拦截

修改为kobe,怎么知道有此用户呢，前期信息收集，个人空间，比如注册时提示此用户已存在。

案例2-pikachu-垂直越权

登录普通用户没有增删改

admin有权增删改，对增加用户抓包，获得admin的cookie


然后切换到普通用户，重新发送数据包，用户可以被添加

利用条件：添加用户的数据包，获得admin的cookie,通过网站源码自己模拟抓吧。

案例3-mozhe

https://www.mozhe.cn/bug/detail/eUM3SktudHdrUVh6eFloU0VERzB4Zz09bW96aGUmozhe

登录test账号

抓包测试，

发现修改card_id后两位数字可以获取到其它账号信息

发送到intru



看响应长度，存在很多账户并没有马春生字样

右键马春生图片审查，头像名称与id有对应关系。


账户密码登录，密码为MD5,机密后为

登录成功。

工具

中通越权检测工具：https://github.com/ztosec/secscan-authcheck
小米范：http://pan.baidu.com/s/1pLjaQKF
burp插件：Authz



AuthMatrix插件：

修复

标签：10,https,账号,admin,用户,2022,com,越权
来源： https://www.cnblogs.com/bigcrucian/p/16034209.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。