【每日一招】一个越权小思路分享

admin
admin
admin
138913
文章
114
评论
2025年4月21日21:50:02评论0 views字数 562阅读1分52秒阅读模式
        好久不见师傅们,也是忙活了半年考完试回归挖洞。想和师傅们分享一个关于越权的小思路。
【每日一招】一个越权小思路分享
由上图,我将权限分为
子权限                 主权限
未授权                 管理员权限
水平权限              水平权限
      无论是可遍历的ID越权还是不可遍历的ID越权,我们通常测试的话也就是围绕这三个越权来测试的。
但有一种越权容易被忽视,如下图所示。
【每日一招】一个越权小思路分享
      当我们来测普通的水平越权,如果我们修改订单ID不存在越权的时候(当然存在也是不可遍历ID,还需要去寻找泄漏点)。我们不妨试试买家A与卖家B之间的越权。
卖家和买家俩个人的订单的功能点是不一样的
      如果开发只做了订单与买卖双方的强绑定而没有做好买卖双方各自的权限校验时,就可能出现买家可以控制卖家的功能/卖家可以控制买家的功能。
举一个具体点的例子
       买家A买了东西后,没有点击确认收货。但是卖家B拼接接口实现了以买家身份点击了确认收货。(当然这只是一个非常简单的例子,这种越权不仅限于订单交易、也可以推广至很多场景。如邀请,签约,租赁等等)
      我猜测的原因是:开发只考虑了每个订单之间的独立性,但是没有考虑买卖双方对自己订单都是有权限的。没有做好这两个身份之间的鉴权,最终导致权限混乱。
如果觉得不错请点点赞与关注

原文始发于微信公众号(罚你不许挖洞):【每日一招】一个越权小思路分享

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月21日21:50:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【每日一招】一个越权小思路分享https://cn-sec.com/archives/3982267.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息