越权漏洞挖掘

Mr. G K2026-04-04 19:25

一. 越权操作分为【垂直越权】【水平越权】

(1)垂直越权操作

  1. 在对应业务线找到【存在不同角色访问接口---存在上下级权限/或者多级访问权限等】

  2. postman/jmeter/接口工具/脚本等---访问权限接口---用普通的用户的token去访问

  3. 若能将信息获取出来----则存在垂直越权问题

(2)水平越权

  1. 在对应业务找到同级权限接口

  2. postman/jmeter/接口工具/脚本等--访问接口---用同级别的token访问等

  3. 若能将别人信息/菜单等获取出来----则存在水平越权

相关推荐
Mr. G K2 小时前
跨域安全漏洞的挖掘方法
web安全
Chengbei113 小时前
利用 LibreNMS snmpget 配置篡改实现 RCE 的完整攻击链
人工智能·web安全·网络安全·小程序·系统安全
admin and root6 小时前
从资产收集FUZZ接口到SQL注入案例
网络·数据库·sql·安全·web安全·渗透测试·log4j
Xudde.8 小时前
班级作业笔记报告0x06
笔记·学习·安全·web安全
NaclarbCSDN8 小时前
User ID controlled by request parameter with password disclosure-Burp 复现
网络·安全·web安全
admin and root10 小时前
XSS之Flash弹窗钓鱼
前端·网络·安全·web安全·渗透测试·xss·src
瘾大侠11 小时前
HTB - DevArea
安全·web安全·网络安全
Chockmans11 小时前
春秋云境CVE-2018-3245
安全·web安全·网络安全·春秋云境·cve-2018-3245
Xudde.11 小时前
班级作业笔记报告0x07
笔记·学习·安全·web安全·php
热门推荐
01GitHub 镜像站点02Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)032026年3月AI领域大事件:DeepSeek引领开源风暴04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05黄金未来走势预测06Mac 本地部署 OMLX + 通义千问 Qwen3.5-27B 保姆级教程07UV安装并设置国内源08AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)