越权漏洞挖掘

一. 越权操作分为【垂直越权】【水平越权】

(1)垂直越权操作

  1. 在对应业务线找到【存在不同角色访问接口---存在上下级权限/或者多级访问权限等】

  2. postman/jmeter/接口工具/脚本等---访问权限接口---用普通的用户的token去访问

  3. 若能将信息获取出来----则存在垂直越权问题

(2)水平越权

  1. 在对应业务找到同级权限接口

  2. postman/jmeter/接口工具/脚本等--访问接口---用同级别的token访问等

  3. 若能将别人信息/菜单等获取出来----则存在水平越权

相关推荐
treesforest16 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
上海云盾第一敬业销售16 天前
深入解析WAF的工作原理与机制
web安全·ddos
憧憬成为web高手16 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub16 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
zhengfei61116 天前
小白级手册——全面剖析红队信息收集思考
网络·安全·web安全
爱网络爱Linux16 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
持敬chijing16 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
顾凌陵16 天前
Web安全二阶段综合测试:知识点速查与实战技巧
安全·web安全
Chengbei1116 天前
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。
sql·安全·web安全·网络安全·自动化·系统安全·xss
AI784017 天前
安全左移:网络安全从“亡羊补牢”走向“未雨绸缪”
网络·安全·web安全